SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题
2020-12-13 13:53
标签:pat 问题 需要 request 权限 请求 user ati handler 问题描述: 框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问 问题原因: SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/user/detail.*,因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理 解决办法: SpringMVC支持路径匹配规则,RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性,通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为 这样配置之后,你再通过“/user/detail.abc”来访问时,就会报404或405的错误了,从而达到权限拦截的目的 SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题 标签:pat 问题 需要 request 权限 请求 user ati handler 原文地址:https://www.cnblogs.com/aligege/p/11544525.htmlmvc:annotation-driven>
mvc:path-matching suffix-pattern="false" />
mvc:annotation-driven>
文章标题:SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题
文章链接:http://soscw.com/essay/33456.html