描述

如果使用 Spring HATEOAS 生成基於超媒體的響應的反應式 Web 應用程式，並且它們未位於受信任的代理之後（該代理可確保此類標頭的正確性），或者它們沒有任何其他措施來處理（並可能丟棄）WebFlux 或底層 HTTP 伺服器級別的轉發標頭，則可能會暴露於惡意轉發標頭。

為了使應用程式受到影響，它需要滿足以下要求

• 它需要使用反應式 Web 堆疊 (Spring WebFlux) 和 Spring HATEOAS 以在基於超媒體的響應中建立連結。
• 應用程式基礎設施不會防範客戶端提交 (X-)Forwarded… 標頭。

受影響的 Spring 產品和版本

Spring HATEOAS

• 1.5.4 或更早版本
• 2.0.4 或更早版本
• 2.1.0

緩解措施

建議應用程序升級到 Spring HATEOAS 版本

• 1.5.5 或更高版本
• 2.0.5 或更高版本
• 2.1.1 或更高版本

或者，可以部署基礎設施手段，以確保在將請求轉發到應用程式之前，忽略客戶端提交的 (X-)Forwarded… 標頭。

鳴謝

問題的根源最初由 Hans Hosea Schaefer (ing.de) 發現