|
Springboot项目中,Swagger框架风险及处理
前言:在漏洞扫描中,Springboot运行的项目往往会扫出Swagger框架涉及漏洞风险。这时,运维人员在找开发之前,可以通过jar包里面的application.yml配置文件(如果application.yml配置文件中指定了另外的激活配置,请在激活的配置中进行以下操作),限制Swagger框架资源的使用。
解决方法一:
简单粗暴,如果是开发人员构建时环境自动添加Swagger框架,并无使用,则可以使用此方法,直接禁用Swagger框架资源。
直接在application.yml(配置文件的名称按照实际情况)的末尾添加以下配置:
- swagger:
- production: true
这将会直接禁用此jar包项目内所有的Swagger框架资源。
解决方法二:
配置Swagger框架的访问权限。
Swagger框架在1.9.0及以上版本,Swagger的资源接口,SwaggerBootstrapUi提供了简单的Basic认证功能,可在yml文件中直接配置。
在application.yml(配置文件的名称按照实际情况)的末尾添加以下配置:(注意,如果配置了解决方式一的,请修改production: 为false)
- swagger:
- production: false
- basic:
- enable: true
- username: TestSwagger
- password: 12345678
然后在swaggerConfig中添加注解引用SwaggerBootstrapUi
- @EnableSwaggerBootstrapUI
最后测试,访问项目,此时访问需要通过在yml配置的用户密码才可进行访问
结语:如果实在拿不准是否需要禁用Swagger框架资源,请立马找开发,毕竟这是开发的活~~(迅速溜走)
| 
站长QQ
发表于 2024-4-10 23:21:47
置顶卡
沉默卡
变色卡