クラス StrictServerWebExchangeFirewall
java.lang.ObjectSE
org.springframework.security.web.server.firewall.StrictServerWebExchangeFirewall
- 実装されているすべてのインターフェース:
ServerWebExchangeFirewall
ServerExchangeRejectedException で不審なリクエストを拒否する ServerWebExchangeFirewall の厳密な実装。
次のルールがファイアウォールに適用されます。
- 許可されていない HTTP メソッドを拒否します。これは HTTP 動詞の改ざんと XST 攻撃をブロックするように指定されています。
setAllowedHttpMethods(Collection)を参照 - セキュリティの制約を回避するために、正規化されていない URL を拒否します。この制約を無効にすることは非常に危険であると考えられるため、これを無効にする方法はありません。この動作を許可するいくつかのオプションは、ファイアウォールの前にリクエストを正規化するか、代わりに
DefaultHttpFirewallを使用することです。リクエストの正規化は脆弱であり、リクエストが正規化ではなく拒否される理由に留意してください。 - 出力可能な ASCII 文字ではない文字を含む URL を拒否します。この制約を無効にすることは非常に危険であると考えられるため、これを無効にする方法はありません。
- セミコロンを含む URL を拒否します。
setAllowSemicolon(boolean)を参照 - URL エンコードされたスラッシュを含む URL を拒否します。
setAllowUrlEncodedSlash(boolean)を参照 - バックスラッシュを含む URL を拒否します。
setAllowBackSlash(boolean)を参照 - null 文字を含む URL を拒否します。
setAllowNull(boolean)を参照 - URL エンコードパーセントを含む URL を拒否します。
setAllowUrlEncodedPercent(boolean)を参照 - 許可されていないホストを拒否します。
setAllowedHostnames(Predicate)を参照 - 許可されていないヘッダー名を拒否します。
setAllowedHeaderNames(Predicate)を参照 - 許可されていないヘッダー値を拒否します。
setAllowedHeaderValues(Predicate)を参照 - 許可されていないパラメーター名を拒否します。
setAllowedParameterNames(Predicate)を参照 - 許可されていないパラメーター値を拒否します。
setAllowedParameterValues(Predicate)を参照
- 導入:
- 6.4
フィールドのサマリー
フィールド修飾子と型フィールド説明static final PredicateSE<StringSE>static final PredicateSE<StringSE>static final PredicateSE<StringSE>static final PredicateSE<StringSE>インターフェース org.springframework.security.web.server.firewall.ServerWebExchangeFirewall から継承されたフィールド
INSECURE_NOOPコンストラクターの概要
コンストラクターメソッドのサマリー
修飾子と型メソッド説明reactor.core.publisher.Mono<org.springframework.web.server.ServerWebExchange>getFirewalledExchange(org.springframework.web.server.ServerWebExchange exchange) ファイアウォールルールが適用されたServerWebExchangeを入手します。voidsetAllowBackSlash(boolean allowBackSlash) パス内でバックスラッシュ "\" or a URL encoded backslash "%5C" を許可するかどうかを決定します。voidsetAllowedHeaderNames(PredicateSE<StringSE> allowedHeaderNames) 許可するヘッダー名を決定します。voidsetAllowedHeaderValues(PredicateSE<StringSE> allowedHeaderValues) 許可するヘッダー値を決定します。voidsetAllowedHostnames(PredicateSE<StringSE> allowedHostnames) 許可するホスト名を決定します。voidsetAllowedHttpMethods(CollectionSE<org.springframework.http.HttpMethod> allowedHttpMethods) 許可する HTTP メソッドを決定します。voidsetAllowedParameterNames(PredicateSE<StringSE> allowedParameterNames) 許可するパラメーター名を決定します。voidsetAllowedParameterValues(PredicateSE<StringSE> allowedParameterValues) 許可するパラメーター値を決定します。voidsetAllowNull(boolean allowNull) パス内で null "\0" or a URL encoded nul "%00" を許可するかどうかを決定します。voidsetAllowSemicolon(boolean allowSemicolon) URL でセミコロンを許可するかどうかを決定します(つまりvoidsetAllowUrlEncodedCarriageReturn(boolean allowUrlEncodedCarriageReturn) URL エンコードされたキャリッジリターンがパスで許可されるかどうかを決定します。voidsetAllowUrlEncodedDoubleSlash(boolean allowUrlEncodedDoubleSlash) URL エンコードされた "%2F%2F" であるダブルスラッシュ "//" をパスで許可するかどうかを決定します。voidsetAllowUrlEncodedLineFeed(boolean allowUrlEncodedLineFeed) パスで URL エンコードされたラインフィードを許可するかどうかを決定します。voidsetAllowUrlEncodedLineSeparator(boolean allowUrlEncodedLineSeparator) パスで URL エンコードされた行セパレーターを許可するかどうかを決定します。voidsetAllowUrlEncodedParagraphSeparator(boolean allowUrlEncodedParagraphSeparator) URL エンコードされた段落区切り文字をパスで許可するかどうかを決定します。voidsetAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) URL エンコードされた "%25" であるパーセント "%" をパスで許可するかどうかを決定します。voidsetAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) 期間 "." かどうかを決定します。つまり、URL エンコードされた "%2E" はパスで許可されるかどうかです。voidsetAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) URL エンコードされた "%2F" であるスラッシュ "/" をパスで許可するかどうかを決定します。voidsetUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) HTTP メソッドが許可されるかどうかを設定します。
フィールドの詳細
ALLOWED_HEADER_NAMES
ALLOWED_HEADER_VALUES
ALLOWED_PARAMETER_NAMES
ALLOWED_PARAMETER_VALUES
コンストラクターの詳細
StrictServerWebExchangeFirewall
public StrictServerWebExchangeFirewall()
メソッドの詳細
getEncodedUrlBlocklist
getDecodedUrlBlocklist
getFirewalledExchange
public reactor.core.publisher.Mono<org.springframework.web.server.ServerWebExchange> getFirewalledExchange(org.springframework.web.server.ServerWebExchange exchange) インターフェースからコピーされた説明:ServerWebExchangeFirewallファイアウォールルールが適用されたServerWebExchangeを入手します。- 次で指定:
- インターフェース
ServerWebExchangeFirewallのgetFirewalledExchange - パラメーター:
exchange- ファイアウォールルールを適用するServerWebExchange。- 戻り値:
- ファイアウォールルールが適用された
ServerWebExchange。
setUnsafeAllowAnyHttpMethod
public void setUnsafeAllowAnyHttpMethod(boolean unsafeAllowAnyHttpMethod) HTTP メソッドが許可されるかどうかを設定します。これが true に設定されている場合、HTTP メソッドの検証は実行されません。これにより、HTTP 動詞の改ざんと XST 攻撃までアプリケーションを開くことができます- パラメーター:
unsafeAllowAnyHttpMethod- true の場合、HTTP メソッド検証を無効にします。それ以外の場合は、デフォルトにリセットします。デフォルトは false です。- 導入:
- 5.1
- 関連事項:
setAllowedHttpMethods
public void setAllowedHttpMethods(CollectionSE<org.springframework.http.HttpMethod> allowedHttpMethods) 許可する HTTP メソッドを決定します。デフォルトでは、"DELETE"、"GET"、"HEAD"、"OPTIONS"、"PATCH"、"POST"、"PUT" が許可されます。
- パラメーター:
allowedHttpMethods- 許可される HTTP メソッドの大文字と小文字を区別するコレクション。- 導入:
- 5.1
- 関連事項:
setAllowSemicolon
public void setAllowSemicolon(boolean allowSemicolon) URL でセミコロンを許可するかどうかを決定します(つまり、マトリックス変数)。反映されたファイルダウンロード攻撃を実行しようとする一般的な方法であるため、デフォルトではこの動作を無効にします。また、URL ベースのセキュリティをバイパスする多くのエクスプロイトのソースです。
例: 次の CVE は、CVE につながったセミコロンの処理方法に関するサーブレット仕様のあいまいさに関する課題のサブセットです。
セミコロンを許可する場合は、セキュリティバイパスの非常に一般的なソースであるため、再考してください。ユーザーがセミコロンを必要とするいくつかの一般的な理由と代替が以下にリストされています
- パスに JSESSIONID を含める -URL にセッション ID(または機密情報)を含めないでください。漏れが発生する可能性があります。代わりに Cookie を使用します。
- マトリックス変数 - マトリックス変数を活用したいユーザーは、代わりに HTTP パラメーターの使用を検討する必要があります。
- パラメーター:
allowSemicolon- URL にセミコロンを許可する必要があります。デフォルトは false
setAllowUrlEncodedSlash
public void setAllowUrlEncodedSlash(boolean allowUrlEncodedSlash) URL エンコードされた "%2F" であるスラッシュ "/" をパスで許可するかどうかを決定します。URL ベースのセキュリティを回避する一般的な方法であるため、デフォルトではこの動作を許可しません。
例: サーブレット仕様のあいまいさが原因で、値が一貫して解析されず、
HttpServletRequestパス関連の値が異なる値になり、特定のセキュリティ制約をバイパスできます。- パラメーター:
allowUrlEncodedSlash- URL エンコードされた "%2F" であるスラッシュ "/" がパスで許可されるかどうか。デフォルトは false です。
setAllowUrlEncodedDoubleSlash
public void setAllowUrlEncodedDoubleSlash(boolean allowUrlEncodedDoubleSlash) URL エンコードされた "%2F%2F" であるダブルスラッシュ "//" をパスで許可するかどうかを決定します。デフォルトでは許可しません。
- パラメーター:
allowUrlEncodedDoubleSlash- パスで URL エンコードされた "%2F%2F" であるスラッシュ "//" が許可されているかどうか。デフォルトは false です。
setAllowUrlEncodedPeriod
public void setAllowUrlEncodedPeriod(boolean allowUrlEncodedPeriod) 期間 "." かどうかを決定します。つまり、URL エンコードされた "%2E" はパスで許可されるかどうかです。デフォルトでは、セキュリティの悪用の頻繁なソースであるため、この動作を許可しません。
例: サーブレット仕様のあいまいさが原因で、URL エンコードされた期間がディレクトリトラバーサル攻撃を介してセキュリティ制約をバイパスする可能性があります。これは、パスが一貫して解析されないため、特定のセキュリティ制約をバイパスできるように、
HttpServletRequestパス関連の値に異なる値が生じるためです。- パラメーター:
allowUrlEncodedPeriod- ピリオド "." つまり、"%2E" でエンコードされた URL がパスで許可されているかどうかを確認します。デフォルトは false です。
setAllowBackSlash
public void setAllowBackSlash(boolean allowBackSlash) パス内でバックスラッシュ "\" or a URL encoded backslash "%5C" を許可するかどうかを決定します。この動作はセキュリティ上の脆弱性の原因となることが多いため、デフォルトでは許可されません。
例: サーブレット仕様のあいまいさが原因で、URL エンコードされた期間がディレクトリトラバーサル攻撃を介してセキュリティ制約をバイパスする可能性があります。これは、パスが一貫して解析されないため、特定のセキュリティ制約をバイパスできるように、
HttpServletRequestパス関連の値に異なる値が生じるためです。- パラメーター:
allowBackSlash- パスにバックスラッシュ "\" or a URL encoded backslash "%5C" を許可するかどうかを指定します。デフォルトは false です
setAllowNull
public void setAllowNull(boolean allowNull) パス内で null "\0" or a URL encoded nul "%00" を許可するかどうかを決定します。この動作はセキュリティ上の脆弱性の原因となることが多いため、デフォルトでは許可されません。
- パラメーター:
allowNull- パスに null"\0" or a URL encoded null "%00" を許可するかどうか。デフォルトは false です- 導入:
- 5.4
setAllowUrlEncodedPercent
public void setAllowUrlEncodedPercent(boolean allowUrlEncodedPercent) URL エンコードされた "%25" であるパーセント "%" をパスで許可するかどうかを決定します。デフォルトでは、セキュリティの悪用の頻繁な原因であるため、この動作は許可されていません。
例: これは、セキュリティ制約の回避につながる二重の URL エンコーディングを伴う悪用につながる可能性があります。
- パラメーター:
allowUrlEncodedPercent- URL エンコードされた "%25" であるパーセント "%" をパスで許可する必要があるかどうか。デフォルトは false です
setAllowUrlEncodedCarriageReturn
public void setAllowUrlEncodedCarriageReturn(boolean allowUrlEncodedCarriageReturn) URL エンコードされたキャリッジリターンがパスで許可されるかどうかを決定します。これはセキュリティエクスプロイトの頻繁な発生源であるため、デフォルトではこの動作を許可していません。- パラメーター:
allowUrlEncodedCarriageReturn- URL エンコードされたキャリッジリターンが URL で許可されているかどうか。デフォルトは false です。
setAllowUrlEncodedLineFeed
public void setAllowUrlEncodedLineFeed(boolean allowUrlEncodedLineFeed) パスで URL エンコードされたラインフィードを許可するかどうかを決定します。これはセキュリティエクスプロイトの頻繁な発生源であるため、デフォルトではこの動作を許可していません。- パラメーター:
allowUrlEncodedLineFeed- URL エンコードされたラインフィードが URL で許可されているかどうか。デフォルトは false です。
setAllowUrlEncodedParagraphSeparator
public void setAllowUrlEncodedParagraphSeparator(boolean allowUrlEncodedParagraphSeparator) URL エンコードされた段落区切り文字をパスで許可するかどうかを決定します。これはセキュリティエクスプロイトの頻繁な発生源であるため、デフォルトではこの動作を許可していません。- パラメーター:
allowUrlEncodedParagraphSeparator- URL エンコードされた段落区切り文字が URL で許可されているかどうか。デフォルトは false です。
setAllowUrlEncodedLineSeparator
public void setAllowUrlEncodedLineSeparator(boolean allowUrlEncodedLineSeparator) パスで URL エンコードされた行セパレーターを許可するかどうかを決定します。これはセキュリティエクスプロイトの頻繁な発生源であるため、デフォルトではこの動作を許可していません。- パラメーター:
allowUrlEncodedLineSeparator- URL でエンコードされた行セパレーターが URL で許可されているかどうか。デフォルトは false です。
setAllowedHeaderNames
許可するヘッダー名を決定します。デフォルトでは、ISO 制御文字および定義されていない文字を含むヘッダー名は拒否されます。
- パラメーター:
allowedHeaderNames- ヘッダー名をテストするための述語- 導入:
- 5.4
- 関連事項:
setAllowedHeaderValues
許可するヘッダー値を決定します。デフォルトでは、ISO 制御文字と定義されていない文字を含むヘッダー値を拒否します。
- パラメーター:
allowedHeaderValues- ホスト名をテストするための述語- 導入:
- 5.4
- 関連事項:
setAllowedParameterNames
許可するパラメーター名を決定します。デフォルトでは、ISO 制御文字および定義されていない文字を含むヘッダー名は拒否されます。- パラメーター:
allowedParameterNames- パラメーター名をテストするための述語- 導入:
- 5.4
- 関連事項:
setAllowedParameterValues
許可するパラメーター値を決定します。デフォルトでは、すべてのパラメーター値が許可されます。
- パラメーター:
allowedParameterValues- パラメーター値をテストするための述語- 導入:
- 5.4
setAllowedHostnames
許可するホスト名を決定します。デフォルトでは、任意のホスト名を許可します。
- パラメーター:
allowedHostnames- ホスト名をテストするための述語- 導入:
- 5.2