引入了 Shiro 的项目哀求路径中带有中文报错400 的题目 ...

by emanjusaka from  https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400 彼岸花开可奈何
本文欢迎分享与聚合，全文转载请留下原文地址。

当我们的项目中引入了 Shiro 后，带有中文的哀求路径会被拦截并返回 400 的错误。一样平常我们的哀求路径是不会带有中文字符，但当我们访问静态资源时那些文件是有可能是中文名称的。比如通过 SpringBoot 的静态资源映射预览上传的图片，这些上传的图片名称就可能是中文的。在没有引入 Shiro 的项目中是可以正常预览的，但引入了 Shiro 的项目中预览这些文件时就会碰到报错 400 的题目。
造成错误的原因

造成这个题目的是原因是 Shiro 有一个全局的拦截器InvalidRequestFilter，它会检查哀求的路径是否合法，如果不合法就会克制该哀求进一步处理并返回 400 的错误。带有中文的哀求路径正是它以为不合法的环境之一。该哀求过滤器在哀求 URI 中发现以下字符都会以为其不合法并克制该哀求：

• 分号：可以通过设置 blockSemicolon = false 来禁用
  
• 反斜杠：可以通过设置blockBackslash = false 来禁用
  
• 非ascii字符-可以通过设置blockNonAscii = false来禁用，禁用此检查的功能将在将来的版本中删除。
  
• 路径遍历-可以通过设置blockTraversal = false来禁用
  

检查的路径

1.     @Override
2.     protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
3.         HttpServletRequest request = WebUtils.toHttp(req);
4.         // check the original and decoded values
5.         return isValid(request.getRequestURI())      // user request string (not decoded)
6.                 && isValid(request.getServletPath()) // decoded servlet part
7.                 && isValid(request.getPathInfo());   // decoded path info (may be null)
8.     }

复制代码

它会检查哀求的各个构成部分，包括原始哀求 URI、解码后的 servlet 路径和解码后的路径信息是否符合特定的规则或格式。也就是是否包罗分号、反斜杠、非 ascii 字符和路径遍历，如果包罗这些东西的某一个都表明是不合法的，isAccessAllowed方法就会返回 false，从而克制此次哀求的进一步处理。
requestURI、servletPath 和 pathInfo 的区别

HttpServletRequest 类中的 getRequestURI()、getServletPath() 和 getPathInfo() 这三个方法分别提供了不同层次的哀求路径信息：

• request.getRequestURI():
  返回的是客户端发送的完整哀求URI，也就是哀求行中的哀求资源部分，不包罗协议、主机名和端口号，但包括查询参数（如果有）。
  示例：如果哀求是 https://www.emanjusaka.top/context-path/some/path?param=value ,则 getRequestURI() 返回 /context-path/some/path?param=value。
  
• request.getServletPath():
  返回的是匹配到当前Servlet的路径部分，这部分路径是根据web.xml或Spring MVC的@RequestMapping注解等设置确定的。
  示例：如果哀求是 https://www.emanjusaka.top/context-path/my-app/some/path，假设 /my-app/* 匹配到了一个Servlet，则 getServletPath() 返回 /my-app/some（具体值取决于Servlet映射设置）。
  
• request.getPathInfo():
  返回的是哀求URI中除Servlet路径之外的部分，这部分被称为路径信息（Path Info），通常包罗匹配Servlet之后剩余的具体资源路径。
  继续上面的示例，对于哀求 https://www.emanjusaka.top/context-path/my-app/some/path，getPathInfo() 返回 /path，因为 /some/path 超出了 /my-app/* 的Servlet映射，/some 是Servlet路径，而 /path 是额外的路径信息。
  

总结起来，getRequestURI() 是整个哀求资源路径，包括可能存在的查询参数；getServletPath() 是匹配到的Servlet路径；而 getPathInfo() 是哀求资源路径中超出Servlet映射的那一部分。
解决方案

下面给出两种解决方案：

• 通过设置blockNonAscii = false来禁用中文字符不合法的检查（现版本生效的解决方案，可能会在以后的某个版本失效）
  
• 通过自定义过滤器替换掉InvalidRequestFilter来让中文字符通过合法检查
  

方案一：

1. @Configuration
2. @Slf4j
3. public class ShiroConfig {
4.       @Bean
5.     public InvalidRequestFilter invalidRequestFilter() {
6.         InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
7.         invalidRequestFilter.setBlockNonAscii(false);
8.         return invalidRequestFilter;
9.     }
10.    @Bean
11.     public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
12.         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
13.         shiroFilterFactoryBean.setSecurityManager(securityManager);
14.         Map<String, String> map = new LinkedHashMap<>();
15.         //登出
16.         map.put("/logout", "logout");
17.         //登录
18.         map.put("/login/**", "anon");
19.         //对所有用户认证
20.         map.put("/**", "authc");
21.         //登录
22.         shiroFilterFactoryBean.setLoginUrl(loginUrl);
23.         //首页
24.         shiroFilterFactoryBean.setSuccessUrl("/index");
25.         //错误页面，认证不通过跳转
26.         shiroFilterFactoryBean.setUnauthorizedUrl("/error");
27.         shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
28.         HashMap<String, Filter> filterMap = new LinkedHashMap<>();
29.         filterMap.put("invalidRequest", invalidRequestFilter());
30.         shiroFilterFactoryBean.setFilters(filterMap);
31.         return shiroFilterFactoryBean;
32.     }
33.   
34.   //... 省略其他配置
35. }

复制代码

方案二：
自定义的 CNInvalidRequestFilter，把 InvalidRequestFilter 的代码复制了过来，只修改其中一小部分，在不影响原始功能的环境下，让中文字符的哀求路径通过检查。

1. package top.emanjusaka.filter;
3. import org.apache.shiro.web.filter.AccessControlFilter;
4. import org.apache.shiro.web.util.WebUtils;
5. import org.springframework.stereotype.Component;
6. import org.springframework.util.StringUtils;
8. import javax.servlet.ServletRequest;
9. import javax.servlet.ServletResponse;
10. import javax.servlet.http.HttpServletRequest;
11. import java.util.Arrays;
12. import java.util.Collections;
13. import java.util.List;
14. import java.util.Objects;
15. import java.util.stream.Stream;
17. @Component
18. public class CNInvalidRequestFilter extends AccessControlFilter {
19.     private static final List<String> SEMICOLON = Collections.unmodifiableList(Arrays.asList(";", "%3b", "%3B"));
20.     private static final List<String> BACKSLASH = Collections.unmodifiableList(Arrays.asList("\", "%5c", "%5C"));
21.     private boolean blockSemicolon = true;
22.     private boolean blockBackslash = !Boolean.getBoolean("org.apache.shiro.web.ALLOW_BACKSLASH");
23.     private boolean blockNonAscii = true;
25.     protected boolean isAccessAllowed(ServletRequest req, ServletResponse response, Object mappedValue) throws Exception {
26.         HttpServletRequest request = WebUtils.toHttp(req);
27.         return this.isValid(request.getRequestURI()) && this.isValid(request.getServletPath()) && this.isValid(request.getPathInfo());
28.     }
30.     private boolean isValid(String uri) {
31.         return !StringUtils.hasText(uri) || !this.containsSemicolon(uri) && !this.containsBackslash(uri) && !this.containsNonAsciiCharacters(uri);
32.     }
34.     protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
35.         WebUtils.toHttp(response).sendError(400, "Invalid request");
36.         return false;
37.     }
39.     private boolean containsSemicolon(String uri) {
40.         if (this.isBlockSemicolon()) {
41.             Stream<String> var10000 = SEMICOLON.stream();
42.             Objects.requireNonNull(uri);
43.             return var10000.anyMatch(uri::contains);
44.         } else {
45.             return false;
46.         }
47.     }
49.     private boolean containsBackslash(String uri) {
50.         if (this.isBlockBackslash()) {
51.             Stream<String> var10000 = BACKSLASH.stream();
52.             Objects.requireNonNull(uri);
53.             return var10000.anyMatch(uri::contains);
54.         } else {
55.             return false;
56.         }
57.     }
59.     private boolean containsNonAsciiCharacters(String uri) {
60.         if (this.isBlockNonAscii()) {
61.             return !containsOnlyPrintableAsciiCharacters(uri);
62.         } else {
63.             return false;
64.         }
65.     }
67.     private boolean isChinese(char c) {
68.         Character.UnicodeBlock ub = Character.UnicodeBlock.of(c);
69.         return ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS
70.                 || ub == Character.UnicodeBlock.CJK_COMPATIBILITY_IDEOGRAPHS
71.                 || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_A
72.                 || ub == Character.UnicodeBlock.CJK_UNIFIED_IDEOGRAPHS_EXTENSION_B
73.                 || ub == Character.UnicodeBlock.CJK_SYMBOLS_AND_PUNCTUATION
74.                 || ub == Character.UnicodeBlock.HALFWIDTH_AND_FULLWIDTH_FORMS
75.                 || ub == Character.UnicodeBlock.GENERAL_PUNCTUATION;
76.     }
78.     private boolean containsOnlyPrintableAsciiCharacters(String uri) {
79.         int length = uri.length();
81.         for (int i = 0; i < length; ++i) {
82.             char c = uri.charAt(i);
83.             if ((c < ' ' || c > '~') && !isChinese(c)) {
84.                 return false;
85.             }
86.         }
88.         return true;
89.     }
91.     public boolean isBlockSemicolon() {
92.         return this.blockSemicolon;
93.     }
95.     public void setBlockSemicolon(boolean blockSemicolon) {
96.         this.blockSemicolon = blockSemicolon;
97.     }
99.     public boolean isBlockBackslash() {
100.         return this.blockBackslash;
101.     }
103.     public void setBlockBackslash(boolean blockBackslash) {
104.         this.blockBackslash = blockBackslash;
105.     }
107.     public boolean isBlockNonAscii() {
108.         return this.blockNonAscii;
109.     }
111.     public void setBlockNonAscii(boolean blockNonAscii) {
112.         this.blockNonAscii = blockNonAscii;
113.     }
114. }

复制代码

设置自定义的过滤器到 shiro 中

1. @Configuration
2. @Slf4j
3. public class ShiroConfig {
4.    @Bean
5.     public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
6.         ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
7.         shiroFilterFactoryBean.setSecurityManager(securityManager);
8.         Map<String, String> map = new LinkedHashMap<>();
9.         //登出
10.         map.put("/logout", "logout");
11.         //登录
12.         map.put("/login/**", "anon");
13.         //对所有用户认证
14.         map.put("/**", "authc");
15.         //登录
16.         shiroFilterFactoryBean.setLoginUrl(loginUrl);
17.         //首页
18.         shiroFilterFactoryBean.setSuccessUrl("/index");
19.         //错误页面，认证不通过跳转
20.         shiroFilterFactoryBean.setUnauthorizedUrl("/error");
21.         shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
22.         HashMap<String, Filter> filterMap = new LinkedHashMap<>();
23.         filterMap.put("invalidRequest", new CNInvalidRequestFilter());
24.         shiroFilterFactoryBean.setFilters(filterMap);
25.         return shiroFilterFactoryBean;
26.     }
27.   //... 省略其他配置
28. }

复制代码

参考资料

• https://blog.pressed.top/2021/03/26/springboot_shiro/#InvalidRequestFilter
  

在技术的星河中遨游，我们互为引路星辰，共同追逐成长的光芒。愿本文的洞见能触动您的思绪，若有所共鸣，请以点赞之手，轻抚附和的弦。
原文地址： https://www.emanjusaka.top/2024/04/shiro-request-chinese-error-400
微信公众号：emanjusaka的编程栈

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。