Spring MVC 和 Jetty : Prevent jsessionid from being used in RedirectView on redirect to external site-6ren

Spring MVC 和 Jetty : Prevent jsessionid from being used in RedirectView on redirect to external site

转载作者：行者123 更新时间：2023-12-04 21:26:12

26

4

在带有 Jetty 的 Spring MVC 2.5 中(可能带有任何 servlet 容器)，我想通过 ModelAndView 中 View 名称的神奇“redirect:”前缀使用 RedirectView 重定向到外部站点。

不幸的是，RedirectView 使用 response.encodeRedirectURL()，所以我的(其他需要的) session ID 被附加到 URL。将 session id 携带到外部站点不仅存在安全风险，“;jsessionid=gagnbaba”字符串也可能被解释为其他站点上的 ContextPath/PathInfo 的一部分，从而导致错误的 URL。

除了实现我自己的 ExternalRedirectView 之外的任何“弹性”选项......并且还破解 ViewResolver 来解释“externalRedirect:”前缀？ (需要 cookie 不是一种选择。)

莫里茨

最佳答案

现在这里是 ExternalRedirectView 按照我上面评论中的计划......这样做了。

import java.io.IOException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.view.RedirectView;

/** variant of RedirectView, will not add a session id to the url
 */
public class ExternalRedirectView extends RedirectView {
    public ExternalRedirectView(String url, boolean contextRelative) {
        super(url, contextRelative);
    }

    /** copied from @link{RedirectView#sendRedirect} and removed calls to
     * reponse.encodeRedirectURL()
     */
    @Override
    protected void sendRedirect( HttpServletRequest request,
            HttpServletResponse response, String targetUrl,
            boolean http10Compatible ) throws IOException {
        if (http10Compatible) {
            // Always send status code 302.
            response.sendRedirect(targetUrl);
        }
        else {
            // Correct HTTP status code is 303, in particular for POST requests.
            response.setStatus(303);
            response.setHeader("Location", targetUrl);
        }
    }
}

我也已经有了自己的 ViewResolver，我在其中添加了新的 externalRedirect: magic vier 名称前缀的功能，现在显示为:

class MyViewResolver extends AbstractCachingViewResolver implements BeanFactoryAware {
[...]
    private static final String EXTERNAL_REDIRECT_URL_PREFIX = "externalRedirect:";
[...]
    @Override
    protected View loadView( String viewName, Locale locale ) throws Exception {
        View view;
        if (viewName.startsWith(UrlBasedViewResolver.REDIRECT_URL_PREFIX)) 
        {
            view = new RedirectView(viewName.substring(UrlBasedViewResolver.REDIRECT_URL_PREFIX.length()), true);
        }
        else if (viewName.startsWith(EXTERNAL_REDIRECT_URL_PREFIX)) 
        {
            view = new ExternalRedirectView(viewName.substring(EXTERNAL_REDIRECT_URL_PREFIX.length()), true);
        }
        else

[...]
感谢所有阅读并思考它的人。

关于Spring MVC 和 Jetty : Prevent jsessionid from being used in RedirectView on redirect to external site，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/2911457/

26

4

0

文章推荐： wpf - WPF 中的自定义模态窗口？

文章推荐： sql - 我可以根据 SELECT CASE 选择多个列吗？

spam-prevention - 有免费的反垃圾邮件数据库吗？
Wordpress 有一个名为 Akismet 的垃圾邮件过滤插件，它似乎能够将任何文本块分类为垃圾邮件。唯一需要注意的是，您需要浏览他们的界面，而且他们的数据库/算法不是开源的，也不是现成的。还有
spam-prevention - hMailServer每天发送限制
我想为 hmailserver 上的每个邮箱设置每天发送的最大电子邮件数，以避免垃圾邮件。我正在寻找在 hmailserver 管理和 COM API 中执行此操作的问题。最佳答案我相信 hMai
spam-prevention - 垃圾邮件发送者如何设法绕过验证码？
我已经在我的博客上放了验证码，我仍然收到垃圾邮件发送者，是否有脚本可以让他们这样做还是他们手工做？最佳答案这取决于您使用的验证码类型。一些用于生成 CAPTCHA 挑战的方法很容易通过光学字符识别
spam-prevention - 可以做些什么来防止类似论坛的应用程序中的垃圾邮件？
除了验证码之外，还有其他方法可以用于 pastie.org 或 p.ramaze.net 等网络应用程序吗？对于我的口味，CAPTCHA 需要太长时间才能制作小糊状物。最佳答案你可以试试 Hone
spam-prevention - 防止垃圾评论
我有一个页面，登录用户可以在其中发表评论。我想阻止用户同时发表评论以防止垃圾邮件。为此，我希望评论之间有 30 秒的间隔(我应该将时间存储在 session 中吗？) .这个方法好吗？最佳答案 se
Angular 编码散列片段 : How to prevent it?
我使用 Angular 5.2 和 Auth0 进行身份验证。登录由 Auth0 在托管登录页面上完成。该页面重定向到我的 Angular 应用程序中的回调页面 myapp.com/login-cal
spam-prevention - 以编程方式检测色情图像的最佳方法是什么？
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，因为
AngularJS : How to prevent a request
是否可以使用 angularjs 拦截器来阻止请求？ $provide.factory('myHttpInterceptor', function($q, someService) { retur
javascript - "Prevent"以编程方式单击元素
前几天发现了这个网站。您点击一个 DIV(按钮)，它就会增加您的分数。 http://clickingbad.nullism.com/ 我自己想，我只需注入(inject) jQuery 并编写一个循
spam-prevention - 以编程方式检测色情图片的最佳方法是什么？
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，
jquery验证: prevent form submit
通过使用 jQuery 插件验证，我试图验证我的表单。当验证通过时，我希望 JavaScript 使用表单中的值触发，然后停止。浏览新/同一网站时无需实际提交表单。这可以通过 jquery 验证实现
c# - C#Prevent 从创建附加窗体
我有一个表单 Form1，它带有一个创建附加表单的按钮。但是，我只想一次创建 1 个附加表单。以下是我的代码实现。我尝试使用 Focus 属性，但它不起作用。 private void addLoca
c# - Unity3D Prevent 添加某些内置组件
我制作了自己的组件，它与一些 Unity 内置组件冲突(例如 Rigidbody 与 Rigidbody2D 冲突)。所以我需要确保这些组件不会一起存在于同一个游戏对象中。有办法吗？自己的组件是什么时
MySQL触发器: Prevent Insert by IF statement
我尝试为 MySQL 数据库编写第一个触发器。它应该在当前时间和“容量”中的给定时间戳的上下文中防止在“course_student”上插入(以及稍后更新) ，但我仍然遇到语法错误。 DELIMITE
php - MySQL Prevent 求和两次
我的 PHP 脚本中有以下查询: SELECT SUM(score) + 1200 AS rating FROM users_ratings WHERE user_fk = ? 问题在于，如果用户在表
python - 忘记从函数返回结果 : how to prevent this bug?
我有时会忘记从函数中返回结果: def f(*args): # do stuff result = # an expression # oops forgot to return resu
c++ - 指针类型是在声明中调用 "prevent"构造函数的唯一方法吗？
我试图搜索此内容，但没有找到任何答案。让我们看看这个: class Foo { Foo(); Bar a; // 'a', the object, gets created (even
php - 提交表单前修改html : prevent this hack
我意识到恶意用户可以在提交表单之前在浏览器中修改表单的 html。例如，切换两个相同类型的输入字段的名称。我正在创建一个很大程度上依赖于数据库中每个条目之间关系的网站。如果发生这种情况，可能会危及
C++ : Prevent a Class from Initialization
我有一个类，在类构造函数中我想检查已传递的几个参数，如果任何参数未通过检查，我想阻止该类初始化。我该怎么做？ Class MyClass { MyClass(int no); }; MyClass:
雷迪斯 : How to prevent this race condition
我在 redis 中有一个散列，其中一个字段的值为字符串化数组，每当用户注册一个事件时，从redis中获取这个字符串化数组后台解析，将用户的用户名添加到数组中将数组字符串化并存储回哈希如果两个

首页

博学

6Ren·AI

商城

Spring MVC 和 Jetty : Prevent jsessionid from being used in RedirectView on redirect to external site