gpt4 book ai didi

java - request.getServletPath()返回的Servlet路径是否保证规范化?

转载 作者:塔克拉玛干 更新时间:2023-11-01 22:23:01 26 4
gpt4 key购买 nike

1) request.getServletPath() 是否可以返回任何路径,例如 /testfolder/../testfolder/file.txt,或者这个路径是否保证是 规范化,因此转换为类似于/testfolder/file.txt?

我之所以问,是想知道这条路径是否可以方便的用于访问控制。例如,当普通用户不应该能够访问以 /admin/ 开头的路径时,那么一些相对路径如 /images/../admin/secretinfo.txt 可用于规避此控件。

请注意:浏览器在联系服务器之前将任何路径转换为绝对的、规范化的路径,但假设发送相对路径的其他恶意客户端可用于攻击。

2) 另外,在执行这种简单的字符串验证访问控制时,我还应该考虑其他与 Servlet Path 相关的安全问题吗?

最佳答案

Servlet 规范对此没有明确规定。有一个 open issue这违反了 Servlet 规范。

规范强烈建议它已规范化,但对于与安全相关的应用程序,我不会依赖它,而是通过规范化过程运行它以确保安全。关于这个主题,我建议不要自己动手,建议您重新使用 Tomcat's normalization code 之类的。 .

关于java - request.getServletPath()返回的Servlet路径是否保证规范化?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37017166/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com