使用 Spring Webclient 如何验证主机名验证是否正在进行

With Spring Webclient how to verify hostname validation is taking place

提问人:Robert Wynkoop 提问时间:11/11/2023 更新时间:11/11/2023 访问量:35

问:

我有一个使用 Spring Webclient/Webflux 和 Reactor-Netty 的项目。我们的漏洞扫描程序检测到 Netty,并抱怨它配置为默认不进行主机名验证 (CWE-295)。

使用 Spring WebClient 时,默认情况下是启用还是禁用主机名验证? 如何证明 WebClient 正在执行主机名验证?

netty.common 4.1.100 春季启动 3.1.5

Spring-Boot netty web客户端

评论

答:

2赞 Andy Wilkinson 11/11/2023 #1

默认情况下,Reactor Netty 不容易受到攻击,因为它默认启用主机名验证。如果您已将 Reactor Netty 配置为使用自定义,那么除非您启用了主机名验证,否则您将容易受到攻击。您可以在此 Spring Boot 问题评论中了解更多信息。SslProvider

上一个:llegalStateException:找不到 TLS ALPN 提供程序;没有可用的 netty-tcnative、Conscrypt 或 Jetty NPN/ALPN

下一个:Quarkus:如何记录传入的 POST 请求的正文