项目扫描除了漏洞,要进行修复,需要把项目的/actuator和/v2/api-docs两个地址给禁用掉。
项目是微服务部署,假设项目后端地址为127.0.0.1,gateway端口为9999,nginx转到gateway地址为127.0.0.1/cloud。
通过nginx负载访问gateway还好说,直接在nginx配置中进行禁用就好了,如下:
# 这部分是负责正常跳转的
location /cloud/ {
# 配置websocket -------start---------
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
# 配置websocket -------end---------
client_max_body_size 1000M;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Via "nginx";
proxy_intercept_errors on; #重要,只有这样才能到nginx定义的404页面
proxy_pass http://127.0.0.1:9999/;
}
# 禁止访问在这里配置
location /cloud/actuator {
deny all;
}
location /cloud/v2/api-docs {
deny all;
}
但是这样并未从根源解决问题,因为访问127.0.0.1:9999/v2/api-docs时,还是会跳出来swagger的页面。
说起来很是挫折,一开始以为swagger在业务服务中,所以在ShiroConfig中各种调配置,重新部署,都没用。然后请教了之前修复过这个漏洞的同事,说是直接硬编码,在业务服务中每次请求的必经之路加上路径判断。
结果同事之前搞的是单体服务,到微服务这里仍然行不通。
后来觉得既然gateway是路由,那就禁用gateway的这几个路径,让这几个路径请求不到就好了,于是对gateway进行配置,这两个路径直接路由到一个不存在的服务,重新部署,结果还是没有任何效果。
那会已经是钻进牛角尖了,搞了一下午,觉得这次可能真的搞不定了。
但是想法总是在心态最平静的时候才会涌现出来,所以没有头绪的时候去上个厕所,可能头绪就自己跑出来了。
突然想起,这个东西是不是就在gateway里,结果一查,gateway里面还真有swagger相关代码。
于是开始对gateway下手。
创建一个Web过滤器,过滤所有路径,针对这两个路径,直接报错,代码如下:
package org.jeecg.filter;
import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.server.WebFilter;
import org.springframework.web.server.WebFilterChain;
import reactor.core.publisher.Mono;
@Component
public class PathRestrictionFilter implements WebFilter {
@Override
public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
String path = exchange.getRequest().getPath().pathWithinApplication().value();
if (path.contains("actuator") || path.contains("v2")) {
return Mono.error(new RuntimeException("禁止访问"));
}
return chain.filter(exchange);
}
}
打包重新部署,终于搞定了,那会已经下班快一个小时了,赶紧又把几个环境的服务部署一遍。
正常情况下,没有什么问题是搞不定的,如果搞了很久觉得搞不定了,不妨休息下,换换脑子,磨刀不误砍柴工嘛,然后回过头来换个角度想想,说不定就豁然开朗了。
