java - HttpServletRequest.getRequestURL() 是否可欺骗？

Question

我希望这个问题是不言自明的。我正在使用 CAS 服务器设置 Spring Security 环境。因为在同一台服务器上部署了完全相同的应用程序，但是服务器可以通过不同的主机名(.de 域、.com 域，可能不止这些)访问，我们希望在测试系统和本地系统上部署相同的应用程序同样，我构建了一个动态服务，其中服务 URL 是从请求 URL 派生的。

public static String makeDynamicUrlFromRequest(ServiceProperties serviceProperties, HttpServletRequest request) {
        String serviceUrl = "https://backup-url.de/login";
        URI uri = null;
        try {
            uri = new URI(request.getRequestURL().toString());
        } catch (URISyntaxException e) {
            logger.error("Someone tried accessing a disallowed service!", e);
        }

        if(uri != null){
            serviceUrl = uri.getScheme() + "://" + uri.getHost() + "/login";
        }

        return serviceUrl;
    }

这有可能被欺骗吗？如果是，额外的正则表达式检查是否为我提供了必要的安全措施？

Answer 1

@developerwjk
“如果他们修改了请求 url，你将如何获得请求？”
HTTP 服务器只是一个监听 TCP 端口、等待输入文本并写出一些文本作为响应的程序。 (一个普通的 Web 服务器可以用大约 20 行代码编写。)它只看到与其连接的任何内容的 IP 地址和端口。它甚至可以是代理，或其他某种中间件。如果您不告诉程序“顺便说一下，我是通过 URL http://my.com/myapp/servlet 联系到您的”那么它就不知道了，例如浏览器将如何访问它。

@沙卡我不知道您的特定设置，但对于 jetty9，getRequestURL 的结果是根据请求 header 中的请求 URL 确定的，并且 - 如果缺少前者 - 中的 URL >主机 参数。也就是说，如果您连接到 my.com 并发送以下请求:

POST http://spoofed1.tld/myapp/servlet HTTP/1.1
Host: spoofed2.tld

(请记住，Host 参数是必需的。)
然后 getRequestURL 将返回 http://spoofed1.tld/myapp/servlet

如果你发送这个:

POST /myapp/servlet HTTP/1.1
Host: spoofed2.tld

然后 jetty 本身会响应

HTTP/1.1 302 Found
Location: http://spoofed2.tld/myapp/servlet
Content-Length: 0
Server: Jetty(<some version number>)

所以答案是是的，HttpServletRequest.getRequestURL() 是可欺骗的!通过修改请求 URL 和/或 Host 请求 header 。