描述

如果响应式Web应用程序使用Spring HATEOAS生成基于超媒体的响应，且其未位于确保此类头正确性的可信代理之后，或者WebFlux或底层HTTP服务器级别未采取其他措施来处理（并可能丢弃）转发头，则可能会受到恶意转发头的影响。

应用程序受影响需满足以下要求：

• 它需要使用响应式Web堆栈（Spring WebFlux）和Spring HATEOAS在基于超媒体的响应中创建链接。
• 应用程序基础设施不防范客户端提交（X-）Forwarded…头。

受影响的 Spring 产品和版本

Spring HATEOAS

• 1.5.4或更早版本
• 2.0.4或更早版本
• 2.1.0

缓解措施

建议应用程序升级到Spring HATEOAS版本：

• 1.5.5或更新版本
• 2.0.5或更新版本
• 2.1.1或更新版本

或者，可以部署基础设施手段，确保在将请求转发到应用程序之前，忽略客户端提交的（X-）Forwarded…头。

致谢

该问题的来源最初由Hans Hosea Schaefer（ing.de）发现。