【问题标题】:Does OkHttp send Authorization and other potentially sensitive headers on redirect?OkHttp 是否在重定向时发送授权和其他可能敏感的标头?
【发布时间】:2018-09-11 21:40:58
【问题描述】:

我正在通过 Apache NiFi 传递使用 OkHttp。我正在尝试确定如何在重定向时处理 Authorization 和其他敏感标头。 NiFi 的 InvokeHTTP 处理器与 OkHttp 在重定向方面的唯一交互是here,它读取处理器属性并在 OkHttpClientBuilder 对象上设置选项:

// Set whether to follow redirects
okHttpClientBuilder.followRedirects(context.getProperty(PROP_FOLLOW_REDIRECTS).asBoolean());

快速搜索 OkHttp 的来源,我似乎无法确定处理重定向的位置以验证 Authorization 是否已从后续请求中剥离,因为我会期望。 cURL 只是 recently adopted 出于安全原因的行为。

【问题讨论】:

标签: java authorization apache-nifi okhttp


【解决方案1】:

它发生在RetryAndFollowUpInterceptor

// When redirecting across hosts, drop all authentication headers. This
// is potentially annoying to the application layer since they have no
// way to retain them.
if (!sameConnection(userResponse, url)) {
  requestBuilder.removeHeader("Authorization");
}

【讨论】:

    猜你喜欢
    • 2016-10-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-09-24
    • 2023-01-18
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多