Spring Boot： Request estRejecttedException：请求被拒绝，因为URL包含潜在的恶意字符串"；"

提问者：小点点

Spring Boot： Request estRejecttedException：请求被拒绝，因为URL包含潜在的恶意字符串"；"

当我发布Spring Boot应用程序的登录凭据时，会出现以下异常。

org.springframework.security请求被拒绝，因为URL包含潜在的恶意字符串"；"

它将发布到/dologin，然后重定向到/home，末尾附加了jesssionid。它也设置了会话cookie。我没有更改任何会话设置，application.properties中也没有提到session。

我试图设置

server.servlet.session.cookie.http-only=true
server.servlet.session.tracking-modes=cookie

如https://stackoverflow.com/a/31792535/148844所述，但没有奏效。

我加了

@Bean
public ServletContextInitializer servletContextInitializer() {
    return new ServletContextInitializer() {
        @Override
        public void onStartup(ServletContext servletContext) throws ServletException {
           servletContext.setSessionTrackingModes(Collections.singleton(SessionTrackingMode.COOKIE));
           SessionCookieConfig sessionCookieConfig=servletContext.getSessionCookieConfig();
           sessionCookieConfig.setHttpOnly(true);
        }
    };
}

但是现在它只是发布、设置cookie并重定向回登录屏幕。就好像它无法访问会话一样。

我设置了server. session.tracking-mode=cookie（而不是server.servlet…），它现在只使用cookie，但是Chrome浏览器在登录后不会将cookie发送回服务器！/home操作只会在会话中的user属性为空时重新显示登录页面。

POST /dologin HTTP/1.1
Host: localhost:8080
Origin: http://localhost:8080
Upgrade-Insecure-Requests: 1
Referer: http://localhost:8080/home

HTTP/1.1 302
Set-Cookie: JSESSIONID=3B82AAA40CE94FF490FBF7B4DBD837DD; Path=/; HttpOnly
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
Location: http://localhost:8080/home

GET /home HTTP/1.1
Host: localhost:8080
Upgrade-Insecure-Requests: 1
Referer: http://localhost:8080/home

HTTP/1.1 200
Set-Cookie: JSESSIONID=B60BF649068F7E85346691FD2F5D119B; Path=/; HttpOnly
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
Content-Type: text/html;charset=UTF-8
Content-Language: en-US
Content-Length: 2742
Date: Sat, 29 Sep 2018 17:41:55 GMT

请注意cookie是不同的，Chrome没有将cookie发送回服务器？为什么？

Spring Boot 1.5.13，Chrome版本69.0.3497.100（正式版本）（64位）

共1个答案

匿名用户

好的，将server. servlet.session.cookies.http-only=true更改为server.session.tracking-mode=cookie并将http://localhost:8080更改为http://127.0.0.1:8080/有效。我找到了这个答案：

Chrome未设置localhostcookie

似乎Chrome一直在从允许localhost转向不允许localhost。大约一三个月前它还在工作。localhost正在为Rails应用程序工作，Chrome正在发送cookie。

事实上，Chrome还向Spring Boot应用程序发送了用于localhost的_mt_rails_sessionRails cookie，但从未发送过JSESSIONIDcookie。

我怀疑，但尚未确认，这可能是由于在端口8080上为不相关的第三个Spring Boot应用程序设置了HTTPS，并且可能在Chrome内部缓存了一些HSTS设置。这可能是Chrome的bug。


		      
                相关问题
                

																                
					
										   HashMap如何识别内部数组中的哪些位置包含元素？
										   线程“main”java. lang.NoClassDefFoundError中的异常：在Intellij[Spring boot]中
										   角度2秒请求可观察
										   包含订阅的方法被多次调用，我应该每次取消订阅旧订阅吗？
										   Angular：定期请求时如何取消订阅
										   如何编写一个函数，使超文本传输协议请求并返回请求的结果？
										   Angular 2缓存超文本传输协议请求使用可观察对象的力量
										   角度超文本传输协议-取消订阅时请求流
										   如何在angular2使用超文本传输协议把请求？
										   Spring：404错误仅以vo类作为Spring控制器中的参数
										   Spring Boot Thymeleaf白标签错误页面
										   微软团队：机器人没有回调URL
										   在JAR中包含解压缩的资源-Maven
										   我怎么能有Teamcity艺术家插件调用bootJar而不是JarGradle？
										   使用gradle bootJar代替jar任务，构建失败Jenkins
										   如何防止Spring Boot将危险控制器包含在生产配置文件中？
										   如何在gradle的测试源代码集中包含所有src/test/资源/**和src/main/java/**/*. html？
										   Gradle不包含要jar的资源文件夹[重复]
										   Jlink-包括JavaFX应用程序中包含自定义python脚本的目录
										   JavaFX Maven Plugin： com.zenjava-jfx：jar以包含所有depeden？

Spring Boot： Request estRejecttedException：请求被拒绝，因为URL包含潜在的恶意字符串"；"

共1个答案

相关问题

热门标签

微信关注