描述

使用Spring HATEOAS生成基于超媒体的响应的响应式Web应用程序，如果它们不在确保此类标头正确性的可信代理之后，或者如果没有其他任何措施来处理（并可能丢弃）WebFlux中或底层HTTP服务器级别的转发标头，则可能容易受到恶意转发标头的攻击。

要使应用程序受到影响，它需要满足以下要求：

• 它需要使用响应式Web栈（Spring WebFlux）和Spring HATEOAS在基于超媒体的响应中创建链接。
• 应用程序基础设施无法防止客户端提交(X-)Forwarded…标头。

受影响的Spring产品和版本

Spring HATEOAS

• 1.5.4 或更低版本
• 2.0.4 或更低版本
• 2.1.0

缓解措施

建议应用程序升级到Spring HATEOAS版本：

• 1.5.5 或更高版本
• 2.0.5 或更高版本
• 2.1.1 或更高版本

或者，可以部署基础设施方法，以确保在将请求转发到应用程序之前忽略客户端提交的(X-)Forwarded…标头。

致谢

此问题最初由Hans Hosea Schaefer (ing.de)发现。