spring mvc url匹配禁用后缀访问

SpringMVC中自动匹配请求路径时，默认情况下会自动匹配  .* 的请求

比如：你想访问 /login ，但是通过 /login.do /login.action /login.json 都能访问

请求为“login ”，方法中匹配路径设置如下：

@RequestMapping(value = "login ", method = RequestMethod.POST)

但是如果你将请求修改为 login .123   仍然会匹配成功，并进去方法执行。

原因: 这是因为在springMVC中默认会对找不到处理器的请求路径, 再进行一次模糊匹配, 会把@RequestMapping注解里面的value取出后面加 .* , 然后再去匹配一次 , 源码如下:

if (this.useSuffixPatternMatch) {
    if (!this.fileExtensions.isEmpty() && lookupPath.indexOf('.') != -1) {
        for (String extension : this.fileExtensions) {
            if (this.pathMatcher.match(pattern + extension, lookupPath)) {
                return pattern + extension;
            }
        }
    }
    else {
        boolean hasSuffix = pattern.indexOf('.') != -1;
        if (!hasSuffix && this.pathMatcher.match(pattern + ".*", lookupPath)) {
            return pattern + ".*";
        }
    }
}

从源码可以看到，this.useSuffixPatternMatch默认为true，也就是会增加模糊匹配。

可以通过设置 RequestMappingHandlerMapping 的 useSuffixPatternMatch 为 false 来禁止自动匹配

<bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping">  
    <property name="useSuffixPatternMatch" value="false"/>
</bean>

或者也可以这样配置来禁用

<mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />
  </mvc:annotation-driven>

 

通常来说可能没有影响，但对于权限控制，这就严重了。

权限控制通常有两种思路：

1）弱权限控制

允许所有url通过，仅对个别重要的url做权限控制。此种方式比较简单，不需要对所有url资源进行配置，只配置重要的资源。

2）强权限控制

默认禁止所有url请求通过，仅开放授权的资源。此种方式对所有的url资源进行控制。在系统种需要整理所有的请求，或者某一目录下所有的url资源。这种方式安全控制比较严格，操作麻烦，但相对安全。

 

如果用第二种方式，则上面spring mvc的访问策略对安全没有影响。

但如果用第一种安全策略，则会有很大的安全风险。

例如：我们控制了/login 的访问，但是我们默认除/login的资源不受权限控制约束，那么攻击者就可以用 /login.do /login.xxx 来访问我们的资源。