描述

如果使用 Spring HATEOAS 生成基于超媒体的响应的反应式 Web 应用程序，并且它们未位于受信任的代理之后（该代理可确保此类标头的正确性），或者它们没有任何其他措施来处理（并可能丢弃）WebFlux 或底层 HTTP 服务器级别的转发标头，则可能会暴露于恶意转发标头。

为了使应用程序受到影响，它需要满足以下要求

• 它需要使用反应式 Web 堆栈 (Spring WebFlux) 和 Spring HATEOAS 以在基于超媒体的响应中创建链接。
• 应用程序基础设施不会防范客户端提交 (X-)Forwarded… 标头。

受影响的 Spring 产品和版本

Spring HATEOAS

• 1.5.4 或更早版本
• 2.0.4 或更早版本
• 2.1.0

缓解措施

建议应用程序升级到 Spring HATEOAS 版本

• 1.5.5 或更高版本
• 2.0.5 或更高版本
• 2.1.1 或更高版本

或者，可以部署基础设施手段，以确保在将请求转发到应用程序之前，忽略客户端提交的 (X-)Forwarded… 标头。

鸣谢

问题的根源最初由 Hans Hosea Schaefer (ing.de) 发现