Spring Security 4.2のStrictHttpFirewallとSpring MVC @MatrixVariable

StrictHttpFirewallのカスタム定義インスタンスを使用して、デフォルトのスプリングセキュリティファイアウォールを希釈できます（自己責任で）

@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowUrlEncodedSlash(true);
    firewall.setAllowSemicolon(true);
    return firewall;
}

そして、WebSecurityでこのカスタムファイアウォールBeanを使用します（スプリングブートはこの変更を必要としません）

@Override
public void configure(WebSecurity web) throws Exception {
  super.configure(web);
  // @formatter:off
  web.httpFirewall(allowUrlEncodedSlashHttpFirewall());
...
}

これはSpring Security 4.2.4+で動作しますが、当然ながらリスクも伴います！

Крис で述べたように、XMLアプローチを使用したい場合は、securityContext.xml（または、スプリングセキュリティ関連のxml-configが呼び出されるもの）に次の部分を追加できます。

<bean id="allowSemicolonHttpFirewall" 
      class="org.springframework.security.web.firewall.StrictHttpFirewall"> 
        <property name="allowSemicolon" value="true"/> 
</bean> 
<security:http-firewall ref="allowSemicolonHttpFirewall"/>

<bean>部分は、ID StrictHttpFirewallを持つ新しいallowSemicolonHttpFirewall Beanを定義し、IDを参照することで<security>タグのデフォルトのhttp-firewallとして設定されます。

次の2つの組み合わせを使用しました

1. https://stackoverflow.com/a/48636757/6780127
2. https://stackoverflow.com/a/30539991/6780127

• 最初の問題はThe request was rejected because the URL contained a potentially malicious String ";"を解決しました
• 2番目はSpring MVC Missing matrix variableを解決しました

Spring WebでSpring Securityを使用しているため、両方を実行する必要があり、問題は解決されました。

@MatrixVariable次のパターンを使用すると便利です。 {num}として使用するには、最初にUrl @MatrixVariableに言及する必要があります

@RequestMapping(method = RequestMethod.GET,value = "/test{num}")
@ResponseBody
public ResponseEntity<String> getDetail(@MatrixVariable String num){
    return new ResponseEntity<>("test"+num, HttpStatus.OK);
}