Spring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未规范化答案

【问题标题】：Spring 5.0.3 RequestRejectedException: The request was rejected because the URL was not normalizedSpring 5.0.3 RequestRejectedException：请求被拒绝，因为 URL 未规范化
【发布时间】：2018-07-05 08:35:06
【问题描述】：

不确定这是 Spring 5.0.3 的错误还是修复问题的新功能。

升级后，我收到此错误。有趣的是，这个错误只在我的本地机器上。使用 HTTPS 协议的测试环境中的相同代码可以正常工作。

继续……

我收到此错误的原因是因为我用于加载生成的 JSP 页面的 URL 是 /location/thisPage.jsp。评估代码request.getRequestURI() 给我结果/WEB-INF/somelocation//location/thisPage.jsp。如果我将 JSP 页面的 URL 修复为此 location/thisPage.jsp，一切正常。

所以我的问题是，我是否应该从代码中的JSP 路径中删除/，因为这是未来所需要的。或者Spring 引入了一个错误，因为我的机器和测试环境之间的唯一区别是协议HTTP 与HTTPS。

 org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
    at org.springframework.security.web.firewall.StrictHttpFirewall.getFirewalledRequest(StrictHttpFirewall.java:123)
    at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:194)
    at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:186)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:357)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:270)

【问题讨论】：

stackoverflow.com/a/48636757/2172731
问题计划在 5.1.0 中解决；目前5.0.0没有这个问题。

标签： spring-mvc spring-security

【解决方案1】：

Spring Security Documentation 在请求中提到了阻塞的原因。

例如，它可能包含路径遍历序列（如 /../）或多个正斜杠 (//)，这也可能导致模式匹配失败。一些容器在执行 servlet 映射之前将它们规范化，但其他容器则没有。为了防止此类问题，FilterChainProxy 使用 HttpFirewall 策略来检查和包装请求。默认情况下会自动拒绝未规范化的请求，并删除路径参数和重复斜杠以进行匹配。

所以有两种可能的解决方案-

删除双斜杠（首选方法）
通过使用以下代码自定义 StrictHttpFirewall 来允许 // 在 Spring Security 中。

第 1 步 创建允许在 URL 中使用斜杠的自定义防火墙。

@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowUrlEncodedSlash(true);    
    return firewall;
}

第2步然后在websecurity中配置这个bean

@Override
public void configure(WebSecurity web) throws Exception {
    //@formatter:off
    super.configure(web);
    web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
....
}

第 2 步是可选步骤，Spring Boot 只需要声明一个 HttpFirewall 类型的 bean，它会在过滤器链中自动配置它。

Spring Security 5.4 更新

在 Spring security 5.4 及更高版本（Spring Boot >= 2.4.0）中，我们可以通过创建下面的 bean 来摆脱太多抱怨请求被拒绝的日志。

import org.springframework.security.web.firewall.RequestRejectedHandler;
import org.springframework.security.web.firewall.HttpStatusRequestRejectedHandler;

@Bean
RequestRejectedHandler requestRejectedHandler() {
   return new HttpStatusRequestRejectedHandler();
}

【讨论】：

是的，引入了路径遍历安全性。那是一个新功能，这可能会导致问题。我不太确定，因为您看到它适用于 HTTPS 而不是 HTTP。我宁愿等到这个错误解决jira.spring.io/browse/SPR-16419
很可能是我们问题的一部分......但是......用户没有输入 // 所以我试图弄清楚第二个 / 首先是如何添加的...如果spring正在生成我们的jstl url，它不应该添加它，或者在添加它之后对其进行规范化。
这实际上并没有解决解决方案，至少对于 Spring Security 5.1.1 而言。如果您需要带有两个斜杠（如 a/b//c）的 URL，则必须使用 DefaultHttpFirewall。 isNormalized 方法不能在 StrictHttpFirewall 中配置或覆盖。
有人能指点一下如何在 Spring 而不是 Boot 中单独执行此操作吗？

【解决方案2】：

setAllowUrlEncodedSlash(true) 对我不起作用。仍然是内部方法isNormalized 返回false 有双斜线时。

我仅使用以下代码将StrictHttpFirewall 替换为DefaultHttpFirewall：

@Bean
public HttpFirewall defaultHttpFirewall() {
    return new DefaultHttpFirewall();
}

对我来说工作得很好。
使用DefaultHttpFirewall 有什么风险吗？

【讨论】：

是的。仅仅因为你不能为你的室友创造一把备用钥匙，并不意味着你应该把唯一的钥匙放在门垫下面。不建议。不应更改安全性。
@java_dude 太好了，您根本没有提供任何信息或理由，只是一个模糊的类比。
另一种选择是子类化StrictHttpFirewall，以便更多地控制 URL 的拒绝，详见this answer。
这对我有用，但我还必须在我的 bean XML 中添加它：<sec:http-firewall ref="defaultHttpFirewall"/>
使用这个解决方案有什么影响？

【解决方案3】：

我遇到了同样的问题：

Spring Boot 版本 = 1.5.10
Spring Security 版本 = 4.2.4

问题出现在端点上，其中 ModelAndView viewName 是用前面的 正斜杠 定义的。示例：

ModelAndView mav = new ModelAndView("/your-view-here");

如果我删除了斜线，它就可以正常工作。示例：

ModelAndView mav = new ModelAndView("your-view-here");

我还用 RedirectView 做了一些测试，它似乎与前面的正斜杠一起工作。

【讨论】：

这不是解决方案。如果这是 Spring 方面的错误怎么办。如果他们更改它，那么您将不得不再次撤消所有更改。我宁愿等到 5.1，因为它被标记为到那时解决。
不，您不必还原更改，因为在旧版本上定义 viewName 而不使用正斜杠可以正常工作。
这正是问题所在。如果它运行良好并且您没有更改任何内容，那么 Spring 引入了一个错误。路径应始终以“/”开头。检查任何弹簧文档。看看这些github.com/spring-projects/spring-security/issues/5007 & github.com/spring-projects/spring-security/issues/5044
这也让我感到难过。更新所有没有前导“/”的 ModelAndView 解决了问题
jira.spring.io/browse/SPR-16740 我打开了一个错误，但删除前导 / 并没有解决我的问题，在大多数情况下，我们只是将视图名称作为字符串返回（来自控制器） .需要将重定向视图视为解决方案。

【解决方案4】：

我在调用 API 时使用了双斜杠，然后我得到了同样的错误。

我不得不打电话给http://localhost:8080/getSomething，但我确实喜欢http://localhost:8080//getSomething。我通过删除多余的斜线解决了它。

【讨论】：

我们可以为此编写一些异常处理，以便我们可以告诉通知客户端他的错误输入吗？

【解决方案5】：

在我的例子中，从 spring-securiy-web 3.1.3 升级到 4.2.12，defaultHttpFirewall 默认从 DefaultHttpFirewall 更改为 StrictHttpFirewall。所以只需在 XML 配置中定义它，如下所示：

<bean id="defaultHttpFirewall" class="org.springframework.security.web.firewall.DefaultHttpFirewall"/>
<sec:http-firewall ref="defaultHttpFirewall"/>

将HTTPFirewall设置为DefaultHttpFirewall

【讨论】：

请在您的代码中添加一些描述，解释发生了什么以及为什么。这是一个很好的做法。如果您不这样做，您的答案就有被删除的风险。它已被标记为低质量。

【解决方案6】：

以下解决方案是一个干净的解决方法。它不会影响安全性，因为我们使用的是相同的严格防火墙。

修复步骤如下：

第 1 步： 创建一个覆盖 StrictHttpFirewall 的类，如下所示。

package com.biz.brains.project.security.firewall;

import java.util.Arrays;
import java.util.Collection;
import java.util.Collections;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpMethod;
import org.springframework.security.web.firewall.DefaultHttpFirewall;
import org.springframework.security.web.firewall.FirewalledRequest;
import org.springframework.security.web.firewall.HttpFirewall;
import org.springframework.security.web.firewall.RequestRejectedException;

public class CustomStrictHttpFirewall implements HttpFirewall {
    private static final Set<String> ALLOW_ANY_HTTP_METHOD = Collections.unmodifiableSet(Collections.emptySet());

    private static final String ENCODED_PERCENT = "%25";

    private static final String PERCENT = "%";

    private static final List<String> FORBIDDEN_ENCODED_PERIOD = Collections.unmodifiableList(Arrays.asList("%2e", "%2E"));

    private static final List<String> FORBIDDEN_SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));

    private static final List<String> FORBIDDEN_FORWARDSLASH = Collections.unmodifiableList(Arrays.asList("%2f", "%2F"));

    private static final List<String> FORBIDDEN_BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));

    private Set<String> encodedUrlBlacklist = new HashSet<String>();

    private Set<String> decodedUrlBlacklist = new HashSet<String>();

    private Set<String> allowedHttpMethods = createDefaultAllowedHttpMethods();

    public CustomStrictHttpFirewall() {
        urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);

        this.encodedUrlBlacklist.add(ENCODED_PERCENT);
        this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        this.decodedUrlBlacklist.add(PERCENT);
    }

    public void setUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) {
        this.allowedHttpMethods = unsafeAllowAnyHttpMethod ? ALLOW_ANY_HTTP_METHOD : createDefaultAllowedHttpMethods();
    }

    public void setAllowedHttpMethods(Collection<String> allowedHttpMethods) {
        if (allowedHttpMethods == null) {
            throw new IllegalArgumentException("allowedHttpMethods cannot be null");
        }
        if (allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            this.allowedHttpMethods = ALLOW_ANY_HTTP_METHOD;
        } else {
            this.allowedHttpMethods = new HashSet<>(allowedHttpMethods);
        }
    }

    public void setAllowSemicolon(boolean allowSemicolon) {
        if (allowSemicolon) {
            urlBlacklistsRemoveAll(FORBIDDEN_SEMICOLON);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_SEMICOLON);
        }
    }

    public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) {
        if (allowUrlEncodedSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_FORWARDSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_FORWARDSLASH);
        }
    }

    public void setAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) {
        if (allowUrlEncodedPeriod) {
            this.encodedUrlBlacklist.removeAll(FORBIDDEN_ENCODED_PERIOD);
        } else {
            this.encodedUrlBlacklist.addAll(FORBIDDEN_ENCODED_PERIOD);
        }
    }

    public void setAllowBackSlash(boolean allowBackSlash) {
        if (allowBackSlash) {
            urlBlacklistsRemoveAll(FORBIDDEN_BACKSLASH);
        } else {
            urlBlacklistsAddAll(FORBIDDEN_BACKSLASH);
        }
    }

    public void setAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) {
        if (allowUrlEncodedPercent) {
            this.encodedUrlBlacklist.remove(ENCODED_PERCENT);
            this.decodedUrlBlacklist.remove(PERCENT);
        } else {
            this.encodedUrlBlacklist.add(ENCODED_PERCENT);
            this.decodedUrlBlacklist.add(PERCENT);
        }
    }

    private void urlBlacklistsAddAll(Collection<String> values) {
        this.encodedUrlBlacklist.addAll(values);
        this.decodedUrlBlacklist.addAll(values);
    }

    private void urlBlacklistsRemoveAll(Collection<String> values) {
        this.encodedUrlBlacklist.removeAll(values);
        this.decodedUrlBlacklist.removeAll(values);
    }

    @Override
    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        rejectForbiddenHttpMethod(request);
        rejectedBlacklistedUrls(request);

        if (!isNormalized(request)) {
            request.setAttribute("isNormalized", new RequestRejectedException("The request was rejected because the URL was not normalized."));
        }

        String requestUri = request.getRequestURI();
        if (!containsOnlyPrintableAsciiCharacters(requestUri)) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The requestURI was rejected because it can only contain printable ASCII characters."));
        }
        return new FirewalledRequest(request) {
            @Override
            public void reset() {
            }
        };
    }

    private void rejectForbiddenHttpMethod(HttpServletRequest request) {
        if (this.allowedHttpMethods == ALLOW_ANY_HTTP_METHOD) {
            return;
        }
        if (!this.allowedHttpMethods.contains(request.getMethod())) {
            request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the HTTP method \"" +
                    request.getMethod() +
                    "\" was not included within the whitelist " +
                    this.allowedHttpMethods));
        }
    }

    private void rejectedBlacklistedUrls(HttpServletRequest request) {
        for (String forbidden : this.encodedUrlBlacklist) {
            if (encodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
        for (String forbidden : this.decodedUrlBlacklist) {
            if (decodedUrlContains(request, forbidden)) {
                request.setAttribute("isNormalized",  new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String \"" + forbidden + "\""));
            }
        }
    }

    @Override
    public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
        return new FirewalledResponse(response);
    }

    private static Set<String> createDefaultAllowedHttpMethods() {
        Set<String> result = new HashSet<>();
        result.add(HttpMethod.DELETE.name());
        result.add(HttpMethod.GET.name());
        result.add(HttpMethod.HEAD.name());
        result.add(HttpMethod.OPTIONS.name());
        result.add(HttpMethod.PATCH.name());
        result.add(HttpMethod.POST.name());
        result.add(HttpMethod.PUT.name());
        return result;
    }

    private static boolean isNormalized(HttpServletRequest request) {
        if (!isNormalized(request.getRequestURI())) {
            return false;
        }
        if (!isNormalized(request.getContextPath())) {
            return false;
        }
        if (!isNormalized(request.getServletPath())) {
            return false;
        }
        if (!isNormalized(request.getPathInfo())) {
            return false;
        }
        return true;
    }

    private static boolean encodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getContextPath(), value)) {
            return true;
        }
        return valueContains(request.getRequestURI(), value);
    }

    private static boolean decodedUrlContains(HttpServletRequest request, String value) {
        if (valueContains(request.getServletPath(), value)) {
            return true;
        }
        if (valueContains(request.getPathInfo(), value)) {
            return true;
        }
        return false;
    }

    private static boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();
        for (int i = 0; i < length; i++) {
            char c = uri.charAt(i);
            if (c < '\u0020' || c > '\u007e') {
                return false;
            }
        }

        return true;
    }

    private static boolean valueContains(String value, String contains) {
        return value != null && value.contains(contains);
    }

    private static boolean isNormalized(String path) {
        if (path == null) {
            return true;
        }

        if (path.indexOf("//") > -1) {
            return false;
        }

        for (int j = path.length(); j > 0;) {
            int i = path.lastIndexOf('/', j - 1);
            int gap = j - i;

            if (gap == 2 && path.charAt(i + 1) == '.') {
                // ".", "/./" or "/."
                return false;
            } else if (gap == 3 && path.charAt(i + 1) == '.' && path.charAt(i + 2) == '.') {
                return false;
            }

            j = i;
        }

        return true;
    }

}

第 2 步： 创建一个 FirewalledResponse 类

package com.biz.brains.project.security.firewall;

import java.io.IOException;
import java.util.regex.Pattern;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

class FirewalledResponse extends HttpServletResponseWrapper {
    private static final Pattern CR_OR_LF = Pattern.compile("\\r|\\n");
    private static final String LOCATION_HEADER = "Location";
    private static final String SET_COOKIE_HEADER = "Set-Cookie";

    public FirewalledResponse(HttpServletResponse response) {
        super(response);
    }

    @Override
    public void sendRedirect(String location) throws IOException {
        // TODO: implement pluggable validation, instead of simple blacklisting.
        // SEC-1790. Prevent redirects containing CRLF
        validateCrlf(LOCATION_HEADER, location);
        super.sendRedirect(location);
    }

    @Override
    public void setHeader(String name, String value) {
        validateCrlf(name, value);
        super.setHeader(name, value);
    }

    @Override
    public void addHeader(String name, String value) {
        validateCrlf(name, value);
        super.addHeader(name, value);
    }

    @Override
    public void addCookie(Cookie cookie) {
        if (cookie != null) {
            validateCrlf(SET_COOKIE_HEADER, cookie.getName());
            validateCrlf(SET_COOKIE_HEADER, cookie.getValue());
            validateCrlf(SET_COOKIE_HEADER, cookie.getPath());
            validateCrlf(SET_COOKIE_HEADER, cookie.getDomain());
            validateCrlf(SET_COOKIE_HEADER, cookie.getComment());
        }
        super.addCookie(cookie);
    }

    void validateCrlf(String name, String value) {
        if (hasCrlf(name) || hasCrlf(value)) {
            throw new IllegalArgumentException(
                    "Invalid characters (CR/LF) in header " + name);
        }
    }

    private boolean hasCrlf(String value) {
        return value != null && CR_OR_LF.matcher(value).find();
    }
}

第 3 步： 创建自定义过滤器以抑制 RejectedException

package com.biz.brains.project.security.filter;

import java.io.IOException;
import java.util.Objects;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpHeaders;
import org.springframework.security.web.firewall.RequestRejectedException;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.GenericFilterBean;

import lombok.extern.slf4j.Slf4j;

@Component
@Slf4j
@Order(Ordered.HIGHEST_PRECEDENCE)
public class RequestRejectedExceptionFilter extends GenericFilterBean {

        @Override
        public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
            try {
                RequestRejectedException requestRejectedException=(RequestRejectedException) servletRequest.getAttribute("isNormalized");
                if(Objects.nonNull(requestRejectedException)) {
                    throw requestRejectedException;
                }else {
                    filterChain.doFilter(servletRequest, servletResponse);
                }
            } catch (RequestRejectedException requestRejectedException) {
                HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
                HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
                log
                    .error(
                            "request_rejected: remote={}, user_agent={}, request_url={}",
                            httpServletRequest.getRemoteHost(),  
                            httpServletRequest.getHeader(HttpHeaders.USER_AGENT),
                            httpServletRequest.getRequestURL(), 
                            requestRejectedException
                    );

                httpServletResponse.sendError(HttpServletResponse.SC_NOT_FOUND);
            }
        }
}

第 4 步： 将自定义过滤器添加到安全配置中的 spring 过滤器链

@Override
protected void configure(HttpSecurity http) throws Exception {
     http.addFilterBefore(new RequestRejectedExceptionFilter(),
             ChannelProcessingFilter.class);
}

现在使用上述修复，我们可以处理带有错误 404 页面的RequestRejectedException。

【讨论】：

谢谢。这是我暂时使用的方法，让我们升级我们的 Java 微服务，直到前端应用程序全部升级。我不需要第 3 步和第 4 步来成功允许“//”被视为规范化。我只是注释掉了在 isNormalized 中检查双斜杠的条件，然后将 bean 配置为使用 CustomStrictHttpFirewall 类。
通过 config 是否有更简单的解决方法？但是没有关闭防火墙..

【解决方案7】：

在我的情况下，问题是由于没有使用 Postman 登录引起的，因此我在另一个选项卡中打开了一个连接，其中使用了我从 Chrome 会话的标题中获取的会话 cookie。

【讨论】：