首页 > 其他分享 >引入了 Shiro 的项目请求路径中带有中文报错400 的问题

引入了 Shiro 的项目请求路径中带有中文报错400 的问题

时间:2024-04-01 17:15:29浏览次数:26  
标签:return 路径 request uri boolean 报错 400 shiroFilterFactoryBean Shiro

by emanjusaka from https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400 彼岸花开可奈何
本文欢迎分享与聚合,全文转载请留下原文地址。

当我们的项目中引入了 Shiro 后,带有中文的请求路径会被拦截并返回 400 的错误。一般我们的请求路径是不会带有中文字符,但当我们访问静态资源时那些文件是有可能是中文名称的。比如通过 SpringBoot 的静态资源映射预览上传的图片,这些上传的图片名称就可能是中文的。在没有引入 Shiro 的项目中是可以正常预览的,但引入了 Shiro 的项目中预览这些文件时就会遇到报错 400 的问题。

造成错误的原因

造成这个问题的是原因是 Shiro 有一个全局的拦截器InvalidRequestFilter,它会检查请求的路径是否合法,如果不合法就会阻止该请求进一步处理并返回 400 的错误。带有中文的请求路径正是它认为不合法的情况之一。该请求过滤器在请求 URI 中发现以下字符都会认为其不合法并阻止该请求:

  • 分号:可以通过设置 blockSemicolon = false 来禁用
  • 反斜杠:可以通过设置blockBackslash = false 来禁用
  • 非ascii字符-可以通过设置blockNonAscii = false来禁用,禁用此检查的功能将在将来的版本中删除。
  • 路径遍历-可以通过设置blockTraversal = false来禁用

检查的路径

    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest request = WebUtils.toHttp(req);
        // check the original and decoded values
        return isValid(request.getRequestURI())      // user request string (not decoded)
                && isValid(request.getServletPath()) // decoded servlet part
                && isValid(request.getPathInfo());   // decoded path info (may be null)
    }

它会检查请求的各个组成部分,包括原始请求 URI、解码后的 servlet 路径和解码后的路径信息是否符合特定的规则或格式。也就是是否包含分号、反斜杠、非 ascii 字符和路径遍历,如果包含这些东西的某一个都表明是不合法的,isAccessAllowed方法就会返回 false,从而阻止此次请求的进一步处理。

requestURI、servletPath 和 pathInfo 的区别

HttpServletRequest 类中的 getRequestURI()、getServletPath() 和 getPathInfo() 这三个方法分别提供了不同层次的请求路径信息:

  1. request.getRequestURI():
    返回的是客户端发送的完整请求URI,也就是请求行中的请求资源部分,不包含协议、主机名和端口号,但包括查询参数(如果有)。
    示例:如果请求是 https://www.emanjusaka.top/context-path/some/path?param=value ,则 getRequestURI() 返回 /context-path/some/path?param=value。
  2. request.getServletPath():
    返回的是匹配到当前Servlet的路径部分,这部分路径是根据web.xml或Spring MVC的@RequestMapping注解等配置确定的。
    示例:如果请求是 https://www.emanjusaka.top/context-path/my-app/some/path,假设 /my-app/* 匹配到了一个Servlet,则 getServletPath() 返回 /my-app/some(具体值取决于Servlet映射配置)。
  3. request.getPathInfo():
    返回的是请求URI中除Servlet路径之外的部分,这部分被称为路径信息(Path Info),通常包含匹配Servlet之后剩余的具体资源路径。
    继续上面的示例,对于请求 https://www.emanjusaka.top/context-path/my-app/some/path,getPathInfo() 返回 /path,因为 /some/path 超出了 /my-app/* 的Servlet映射,/some 是Servlet路径,而 /path 是额外的路径信息。

总结起来,getRequestURI() 是整个请求资源路径,包括可能存在的查询参数;getServletPath() 是匹配到的Servlet路径;而 getPathInfo() 是请求资源路径中超出Servlet映射的那一部分。

解决方案

下面给出两种解决方案:

  • 通过设置blockNonAscii = false来禁用中文字符不合法的检查(现版本生效的解决方案,可能会在以后的某个版本失效)
  • 通过自定义过滤器替换掉InvalidRequestFilter来让中文字符通过合法检查

方案一:

@Configuration
@Slf4j
public class ShiroConfig {
      @Bean
    public InvalidRequestFilter invalidRequestFilter() {
        InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
        invalidRequestFilter.setBlockNonAscii(false);
        return invalidRequestFilter;
    }
   @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        //登出
        map.put("/logout", "logout");
        //登录
        map.put("/login/**", "anon");
        //对所有用户认证
        map.put("/**", "authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        //首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        HashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("invalidRequest", invalidRequestFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        return shiroFilterFactoryBean;
    }
  
  //... 省略其他配置
}

方案二:

自定义的 CNInvalidRequestFilter,把 InvalidRequestFilter 的代码复制了过来,只修改其中一小部分,在不影响原始功能的情况下,让中文字符的请求路径通过检查。

package top.emanjusaka.filter;

import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.stream.Stream;

@Component
public class CNInvalidRequestFilter extends AccessControlFilter {
    private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));
    private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\\", "%5c", "%5C"));
    private boolean blockSemicolon = true;
    private boolean blockBackslash = !Boolean.getBoolean("org.apache.shiro.web.ALLOW_BACKSLASH");
    private boolean blockNonAscii = true;

    protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
        HttpServletRequest request = WebUtils.toHttp(req);
        return this.isValid(request.getRequestURI()) && this.isValid(request.getServletPath()) && this.isValid(request.getPathInfo());
    }

    private boolean isValid(String uri) {
        return !StringUtils.hasText(uri) || !this.containsSemicolon(uri) && !this.containsBackslash(uri) && !this.containsNonAsciiCharacters(uri);
    }

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        WebUtils.toHttp(response).sendError(400, "Invalid request");
        return false;
    }

    private boolean containsSemicolon(String uri) {
        if (this.isBlockSemicolon()) {
            Stream<String> var10000 = SEMICOLON.stream();
            Objects.requireNonNull(uri);
            return var10000.anyMatch(uri::contains);
        } else {
            return false;
        }
    }

    private boolean containsBackslash(String uri) {
        if (this.isBlockBackslash()) {
            Stream<String> var10000 = BACKSLASH.stream();
            Objects.requireNonNull(uri);
            return var10000.anyMatch(uri::contains);
        } else {
            return false;
        }
    }

    private boolean containsNonAsciiCharacters(String uri) {
        if (this.isBlockNonAscii()) {
            return !containsOnlyPrintableAsciiCharacters(uri);
        } else {
            return false;
        }
    }

    private boolean isChinese(char c) {
        Character.UnicodeBlock ub = Character.UnicodeBlock.of(c);
        return ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS
                || ub == Character.UnicodeBlock.CJK_COMPATIBILITY_IDEOGRAPHS
                || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_A
                || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_B
                || ub == Character.UnicodeBlock.CJK_SYMBOLS_AND_PUNCTUATION
                || ub == Character.UnicodeBlock.HALFWIDTH_AND_FULLWIDTH_FORMS
                || ub == Character.UnicodeBlock.GENERAL_PUNCTUATION;
    }

    private boolean containsOnlyPrintableAsciiCharacters(String uri) {
        int length = uri.length();

        for (int i = 0; i < length; ++i) {
            char c = uri.charAt(i);
            if ((c < ' ' || c > '~') && !isChinese(c)) {
                return false;
            }
        }

        return true;
    }

    public boolean isBlockSemicolon() {
        return this.blockSemicolon;
    }

    public void setBlockSemicolon(boolean blockSemicolon) {
        this.blockSemicolon = blockSemicolon;
    }

    public boolean isBlockBackslash() {
        return this.blockBackslash;
    }

    public void setBlockBackslash(boolean blockBackslash) {
        this.blockBackslash = blockBackslash;
    }

    public boolean isBlockNonAscii() {
        return this.blockNonAscii;
    }

    public void setBlockNonAscii(boolean blockNonAscii) {
        this.blockNonAscii = blockNonAscii;
    }
}

配置自定义的过滤器到 shiro 中

@Configuration
@Slf4j
public class ShiroConfig {
   @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        //登出
        map.put("/logout", "logout");
        //登录
        map.put("/login/**", "anon");
        //对所有用户认证
        map.put("/**", "authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl(loginUrl);
        //首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        HashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("invalidRequest", new CNInvalidRequestFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        return shiroFilterFactoryBean;
    }
  //... 省略其他配置
}

参考资料

  1. https://blog.pressed.top/2021/03/26/springboot_shiro/#InvalidRequestFilter

在技术的星河中遨游,我们互为引路星辰,共同追逐成长的光芒。愿本文的洞见能触动您的思绪,若有所共鸣,请以点赞之手,轻抚赞同的弦。
原文地址: https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400
微信公众号:emanjusaka的编程栈

标签:return,路径,request,uri,boolean,报错,400,shiroFilterFactoryBean,Shiro
From: https://www.cnblogs.com/emanjusaka/p/18108878/page_20

相关文章

  • macbook pip3路径报错
    执行pip3,提示:zsh:/usr/local/bin/pip3:badinterpreter:/Library/Developer/CommandLineTools/usr/bin/python3:nosuchfileordirectory问题:原因:python路径不正确方法:➜whichpython3/usr/local/bin/python➜bincd/usr/local/bin➜binvimpip3修改第一......
  • MSSQLServer dbo没有智能提示/红色报错波浪线
    使用SQLServer的时候碰到了一个问题,就是已经在[24_3_25]中创建了temp1表,但是左侧对象资源管理器窗口中没显示,而且没有输入提示,还有红色报错波浪线。如图所示解决方法:资源管理器没显示选中“表”选择刷新对于报错波浪线和没提示的问题看看是否是因为开启智能提示点击......
  • 报错:react.development.js:1130 Uncaught Error: Objects are not valid as a React
      原因:是因为getControl我用了异步async的方法。而调用的时候,没有加上await导致的。 解决办法:加上await就可以了 ......
  • SAP BW 增量抽取报错任务 ODQR_***** 已失败
    修复处理链发现一直报错,报错信息如下: 怀疑是源端的增量出现问题:打开源端,TCODE:ODQMON 选择,双击进入 找到对应的DTP,双击进入  找到增量出错的那条,点击,尝试重新抽取增量,如果不行,看后台任务是否还在运行,如果报错任务直接删掉。然后更新请求状态,变成了红叉,直接运行DTP......
  • Cisco ISR 4000 Series IOS XE Release IOSXE-17.13.1a ED
    CiscoISR4000SeriesIOSXEReleaseIOSXE-17.13.1aED思科4000系列集成服务路由器系统软件请访问原文链接:https://sysin.org/blog/cisco-isr-4000/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.org思科4000系列集成服务路由器让您的分支机构站点为实施全数......
  • MySQL数据库报错:ERROR 1364 (HY000): Field ‘authentication_string‘ doesn‘t have
    在MySQL安装和配置的过程中,遇到错误可能会让人感到困惑,尤其是当错误信息不够清晰时。本文将详细探讨一个在MySQL安装过程中较少见但可能会遇到的错误,提供一个全面的解决方案指南。错误描述在MySQL安装过程中,可能会遇到以下错误信息:ERROR1364(HY000):Field'authentica......
  • Eclipse重命名Maven工程,经常报错
    0.问题重命名Maven工程方式如下:重命名Maven工程时,发生报错:1.解决问题大概率是,重命名后无法读取到相应工程下的pom.xml了所以我们需要实时更新Maven配置,如下配置,勾选如图选项即可:......
  • Android 12 第一次运行就报错,Android面试题集锦在这里
    以前加上intent-filter的话,exported就默认是true。Android 12之后开始强制大家声明exported属性**。**例如:<application<activityandroid:name=“.actvitiy.MainActivity”android:exported=“true”<activityandroid:name=“.actvitiy.SchemeActivity”android:e......
  • SpringBoot集成Junit单元测试找不到bean报错:expected at least 1 bean which qualifie
    发生缘由调用封装的MinIOstarter运行环境电脑系统版本:Windows1064bitIdea:2023.2(UltimateEdition)Maven:apache-maven-3.6.0Docker:Dockerversion26.0.0,build2ae903eMinIO:加载本地镜像,不清楚版本号jdk版本:jdk-8spring.boot.version:2.3.9.RELEASEminio依赖:7.1.......
  • kali中解决docker报错:Error response from daemon: Get “https://registry-1.docker.
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、问题二、解决方法1.添加DNS2.写入DNS3.重启网络服务三、测试docker是否能正常拉取镜像前言Kali在使用docker下载镜像报错,如下部分报错所示。故对docker报错进行处理方案的记录。E......