[Spring] 갑자기 POST가 안되는 현상(feat.XSSFilter)

[Spring] 갑자기 POST가 안되는 현상(feat.XSSFilter)

정말 문법을 확인하고 또 확인해도 정확히 썼는데 POST 통신이 되지 않는다면?

설정한 XSS 공격 방어 또는 인터셉터를 의심하세요.

네이버에서 만든 lucy-xss-sax.xml 쓸 경우

HttpServletRequest를 가져가 먼저 작업을 하기 때문에 POST로 데이터를 못 받아온다.

POST 방식으로 전달된 "application/json" 타입의 데이터를 Servlet의 Filter나 Spring의 Interceptor에서 모종의 처리를 하기 위해서는 HttpServletRequest의 InputStream을 읽어 들여야 합니다.

그러나 HttpServletRequest의 InputStream은 한 번 읽으면 다시 읽을 수 없습니다.

왜냐하면 톰캣이 그걸 막습니다.

만약 Interceptor나 Filter에서 InputStream을 읽게 되면, 이후 Spring이 Converter를 이용해 Json 데이터를 바인딩 처리할 때 아래와 같은 에러를 만날 수 있습니다. Spring이 이미 읽어버린 InputStream을 다시 읽으려고 시도하다가 슬픈 에러를 뱉어내는 거죠.

바인딩 예외

1.JSON으로 던졌을 때

java.lang.IllegalStateException: getReader() has already been called for this request org.springframework.http.converter.HttpMessageNotReadableException: Could not read JSON: Stream closed; nested exception is java.io.IOException: Stream closed

2.FORM으로 던졌을 때

14:46:39.691 [http-nio-80-exec-11] WARN j.l.Exception line:23 method:handlerException - org.springframework.validation.BindException: org.springframework.validation.BeanPropertyBindingResult: 1 errors

상황 발생

어느 날 갑자기 POST로 보내는 통신은 싹 다 null이 뜨기 시작함

데이터를 바인딩하지 못하는 현상

@RequestMapping(value="manage/postTest.do",method=RequestMethod.POST) public String signUp(HttpServletRequest request){ LOG.warn(request); LOG.warn(request.getParameter("id")); return "/java119.do"; }

로그 출력

14:41:21.964 [http-nio-80-exec-1] WARN c.k.P.o.c.Java119Controller line:39 method:signUp -com.pack.project.XSS.RequestWrapper@61d1d9fa 14:41:21.965 [http-nio-80-exec-1] WARN c.k.P.o.c.Java119Controller line:40 method:signUp - null

요청을 Java119Controller에 보냈는데 HttpServletRequest 객체는 뜬금없이 XSS 설정해둔 패키지를 바라보고 있음

XSS 설정 의심 시작

필자가 사용한 XSS는 네이버 선배 형님들이 만든 lucy-xss-servlet-filter입니다.

git 주소 : https://github.com/naver/lucy-xss-servlet-filter

다시 보니

Recommendation 신규로 개발하는 서비스에는 lucy-xss-servlet-filter를 사용하는 것을 추천하지만, 기존 잘 운영되는 시스템에 lucy-xss-servlet-filter를 사용하는 것은 추천하지 않습니다. 입력 파라메터가 전부 필터링 되기 때문에 서비스가 잘 동작하지 않는 의도치 않은 결과가 발생할 수 있기 때문입니다.

라고 써져있었네요.. 죄송합니다 네이버 선배님들

web.xml에 설정해둔 XSS Filter 주석 처리 후 POST 테스트 부분

결과 : 아주 잘 됩니다.

아무리 POST가 안 되는 이유, 갑자기 POST 안됨, POST 통신 먹통, POST 무조건 null 등등

검색해봐도 찾을 수가 없었는데

역시 검색에 너무 의존하는 것도 문제인 거 같습니다.

꼭 XSSFilter 아니더라도 POST가 되지 않는다면 뭔가가 가로채고 있다는 뜻입니다.

그런 것을 잘 확인해보시고 즐 코 하세요~

XSSFilter를 적용하면서 POST를 하시고 싶으신 분들은 참고 자료

from http://java119.tistory.com/79 by ccl(A) rewrite - 2020-03-15 14:20:27

댓글

댓글 쓰기

이 블로그의 인기 게시물

데이터 바인딩 추상화 - propertyEditor

데이터 바인딩 추상화 - propertyEditor 데이터 바인딩 org.springframework.validation.DataBinder java.beans.PropertyEditor https://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/validation/DataBinder.html WEB MVC에만 특화된 것이 아니라 여러 곳에서 쓰이는 스프링 핵심 기술 기술적인 관점 프로퍼티 값을 타겟 객체에 설정하는 기능 사용자 관점 사용자 입력값을 애플리케이션 도메인 모델에 동적으로 변환해 넣어주는 기능. 입력값은 대부분 "문자열"인데, 그 값을 객체가 가지고 있는 int, long, Boolean, Date 등 심지어 Event, Book 같은 도메인 타입으로도 변환해서 넣어주는 기능. PropertyEditor public class EventEditor extends PropertyEditorSupport{ @Override public String getAsText() { Event event = (Event)getValue(); return event.getId().toString(); } @Override public void setAsText(String text) throws IllegalArgumentException { setValue(new Event(Integer.parseInt(text))); } } 스프링 3.0 이전까지 DataBinder 가 변환 작업 사용하던 인터페이스 getValue 는 PropertyEditorSupport 가 받은 객체를 가져올 수 있다. getValue와 setValue는 객체를 공유 하고 있으며 PropertyEditor가 가지고 있는 값 이다. 서로 다른 쓰레드에 공유 를 한다.( 쓰레드-세이프 하지 않음 ) Bean 으로 등록해서 쓰지 말아야 한다. Ob...
자세한 내용 보기

[샤니마스 SPRING PARTY2020] THE IDOLM @ STER SHINY COLORS SPRING...

[샤니마스 SPRING PARTY2020] THE IDOLM @ STER SHINY COLORS SPRING... 상품판매 : https://idolmaster.jp/blog/?p=80506 프로듀서 여러분, 안녕하세요. 평소 아 소비 스토어를 이용해 주셔서 감사합니다. 「THE IDOLM @ STER SHINY COLORS SPRING PARTY 2020」의 회장에서 판매를 예정하고 있던 상품의 판매를 오늘부터 시작했습니다. 자세한 내용은 여기를 확인하시기 바랍니다. https://shop.asobistore.jp/feature/scspringpary2020_p/ 대상 상품은 아 소비 스토어에서 판매 페이지 내에서「 「THE IDOLM @ STER SHINY COLORS SPRING PARTY 2020」의 회장에서 판매를 예정하고 있던 상품입니다.」라고 설명하고 있습니다. 아 소비 스토어 URL : https://shop.asobistore.jp/ from http://ascarot-765.tistory.com/2511 by ccl(A) rewrite - 2020-03-25 21:54:26
자세한 내용 보기

Spring Web Form

Spring Web Form 1. Data Binding - request parameter들은 어떻게 해당 오브젝트로 옮겨질까 Naive solution - @RequestParam annotaion을 사용하여 메서드 매개 변수와 bind 해준다. ex) @RequestMapping("/deget") public String doGet( @RequestParam("name") String name){ ... } -> 이런 식으로 받은 매개변수를 객체를 만들어 set 해주는 방식 - @RequestParam annotaion을 사용하여 메서드 매개 변수와 bind 해준다. ex) @RequestMapping("/deget") public String doGet( @RequestParam("name") String name){ ... } -> 이런 식으로 받은 매개변수를 객체를 만들어 set 해주는 방식 Spring Data Binding - form에서 오는 매개변수를 자동으로 객체에 바인딩 시켜준다. ex) @RequestMapping(value="/docreate", method=RequestMethod.POST) public String doGet(Offer offer){ ... } -> Spring이 자동적으로 offer객체에 받은 requestParameter를 넣어준다. 바인딩 되는 과정 Dispatcher Servlet에서 요청을 받음 새로운 form bean이 인스턴스화된다. form bean은 requestParameter에서 채워진다. form bean이 모델에 추가된다. bean을 Controller로 전달 Controller에서 Dispatcher Serlvet에 Model 객체를 전달한다. Dispatcher Servelt에서 View로 Model 객체를 전달 후 View는 객체를 사용하여 r...
자세한 내용 보기