因为项目发布在阿里云服务器上,阿里云安全中心会对项目进行扫描,最近检测到项目上用的 springboot 框架版本存在反射型文件下载漏洞,所以需要升级 springboot 版本
这一版本升级可真是差点要人老命
我这边原本用的 springboot 版本是 2.1.6,需要升级到 2.3.4
升级固然很好,springboot 也增加了部分新功能,优化了一些 bug
但是,升级也去掉了一部分之前存在的功能
问题现象
springboot 升级之后,原本用的好好的文件上传咋就不行了呢,真让人头痛
报错信息
2020-11-17 09:58:08.187 ERROR 9152
--- [nio-9090-exec-9] o.a.c.c.C.[.[.[/].[dispatcherServlet] :
Servlet.service() for servlet [dispatcherServlet] in context with path []
threw exception [Request processing failed;
nested exception is org.springframework.web.multipart.MultipartException:
Failed to parse multipart servlet request; nested exception is
java.io.IOException: org.apache.tomcat.util.http.fileupload.
FileUploadException: Stream closed] with root cause
java.io.IOException: Stream closed解决思路
看到这一堆错误信息之后,根据错误信息立马去百度查阅相关资料,结果可想而知,都不是我想要的答案
最后,突然想到,我昨天不是升级了 springboot 版本么,会不会是这个原因呢?
百度一看,果然,还是有很多像我一样的小伙伴的
解决方法
spring:
#解决 springboot 升版后文件上传问题
mvc:
hiddenmethod:
filter:
enabled: true只需要在 application.yml 配置文件中,配置这段代码,重新启动服务即可
问题原因
原来的springboot 版本,我们使用了 logback-access 过滤器
过滤器用 httpServletRequest 缓存包装器包裹,并在沿着过滤器传递请求之前关闭了输入流,然后在 javax.servlet.http.HttpServletRequest#getParts 调用时引起了问题,因为该调用被委托给原始 Tomcat 的请求(具有现在关闭的输入流)然后导致 “流关闭” 异常
引发此问题的根本原因是 spring 改变了 hiddenHttpMethodFilter 的过滤机制,使 hiddenHttpMethodFilter 不再存在于过滤器链中,在没有升级之前,这个过滤器是第一个被调用的过滤器,它会调用 HttpServletRequest#getParameter,这将使 Tomcat 的请求实现解析多部分内容并将这些部分存储再对象中(以便以后的调用 #getParts 将使用它而不尝试再次进行解析)
我们在配置文件中配置的内容会使得
HttpServletRequest#getParameter 再将请求传递到 logback 的过滤器之前进行调用(相关代码可以查看 LOGBACK-1503),以强制 Tomcat 在输入流仍然处于打开状态时解析和存储请求部分
总结
简单来说就是 springboot 2.0 以上默认关闭了这个方法,导致这个过滤器没有发生作用,所以就关闭了,无法解析和存储我们的部分请求
