Sa-Token对url过滤不全存在的风险点

船山信安 · 公众号 · · 2024-09-18 00:00

文章预览

下载地址：https://github.com/dromara/Sa-Token 使用文档：https://sa-token.cc/doc.html#/start/example 使用request.getRequestURI() 获取url：更改com.pj.satoken.SaTokenConfigure#getSaServletFilter函数，放行js后缀的路径和登录入口/acc/doLogin，其他的路径均需登录之后才能访问， . addInclude ( "/**" ). addExclude ( "/**/*.js" , "/acc/doLogin" ) // 认证函数: 每次请求执行 . setAuth ( obj -> { // SaManager.getLog().debug("----- 请求path={} 提交token={}", SaHolder.getRequest().getRequestPath(), StpUtil.getTokenValue()); // 检查用户是否登录 if (! StpUtil . isLogin ()) { // 如果未登录，抛出异常或返回拒绝访问的错误 throw new SaTokenException ( "没有登录" ); } }) cn.dev33.satoken.filter.SaPathCheckFilterForServ ………………………………

原文地址：访问原文地址
快照地址：访问文章快照
总结与预览地址：访问总结与预览

分享到微博

推荐文章

界面新闻 · 盒马创始人侯毅宣布进军宠物零售

8 小时前

界面新闻 · 岚图否认华为研发团队入驻

昨天

界面新闻 · 阿迪达斯做奢侈品，有多少胜算？

2 天前

界面新闻 · 福特汽车将削减约50%中层管理人员的股票奖金

2 天前

集微网 · 中国芯片产能未来三年或提升达60%;解析碳化硅大规模应用背后不可或缺的封装技术；ASML Hyper-NA EUV挺进0.2nm

8 月前

Android出海 · 为什么Google AdMob账户被限流？

5 月前