Jboss EAP 6:HttpRequest http-header 验证

Jboss EAP 6 : HttpRequest http-header validation

作为一项安全措施,我的组织要求我验证 header 属性以允许请求通过业务规则。在 Jboss eap 6.3 中我需要在哪里配置它?这个配置是在我之前完成的,我不确定在之前的 jboss 5.x 中它是如何实现的。请告诉我如何在不对应用程序进行任何更改的情况下配置容器安全性。

据我了解,这必须在应用程序中完成。不确定这是否可以在 JBoss 配置中完成。

试试这个 https://www.owasp.org/index.php/How_to_add_validation_logic_to_HttpServletRequest

原来我们有不同的处理方式。我们使用了 Jboss 5 的单点登录功能,并在容器级别验证了 header。验证 header 时,会公开一个通用角色名称,应用程序使用该名称将资源限制为特定角色名称。

您可以在 Global Valve 中执行此操作,它类似于 servlet 过滤器,但可以更多地访问 JBossWeb (Tomcat) 内部结构并适用于所有请求。详细信息位于 https://access.redhat.com/documentation/en-US/JBoss_Enterprise_Application_Platform/6.4/html/Administration_and_Configuration_Guide/chap-Global_Valves.html

的文档中

这不能在容器之间移植,并且不能在 WildFly 或 EAP 7+ 中工作,因为 Web 容器已从 JBossWeb 更改为 Undertow。