【SpringSecurity系列（十五）】请求防火墙默认已开启

《深入浅出Spring Security》一书已由清华大学出版社正式出版，详细介绍了Spring Security的使用和Web安全机制。

作者指出，许多开发者认为只需处理认证和授权即可确保系统安全，这是不够的。Web攻击日益增多，如固定会话攻击、CSRF攻击等，如果不了解这些攻击，自编写的安全系统可能无法防御。Spring Security提供了自动防御这些攻击的机制，且相较于Shiro更加全面，能够提供更安全的管理。

文章接着讨论了Spring Security中的HttpFirewall机制，这是一个请求防火墙，能自动处理非法请求。有两种实现类：StrictHttpFirewall和DefaultHttpFirewall，前者限制多，后者较宽松，Spring Security默认使用StrictHttpFirewall。

StrictHttpFirewall的防护措施涉及：

• 只允许白名单中的HTTP方法。
• 请求地址不能包含分号；这防止了不安全的jsessionid传递方式。
• 请求地址必须是标准化URL，不能包含特定的非标准路径字符。
• 请求地址必须只包含可打印的ASCII字符。

作者还提到，Spring3.2引入的@MatrixVariable特性，用于参数传递，但默认被Spring Security阻止，因为它使用分号分隔参数，如果开发者需要使用这一特性，需要在Spring Security中进行额外配置。

总结而言，文章强调了Spring Security的重要性和默认安全措施，如HttpFirewall和请求规范化，并提醒开发者需要正确配置以兼容特定的传参方式。