过滤器作用范围/和/*引发的安全问题

问题：过滤器作用范围设置为/或/*一样么？

安全人员可能觉得不一样，毕竟从对通配符的认识来说， / 代表的只是根目录， /* 代表所有。

开发人员可能觉得一样，根据平常的开发经验，并未发现两者的差别。

其实呢，这两种认识都不正确，更确切地说前者说的不够正确。具体许我慢慢道来。

0x01 问题背景

回想起之前做的代码审计时，发现项目设置全局过滤器时，有的设置为 / ，有的设置为 /* 。

在自己模糊印象里，在校学jsp时确实感觉两者是一样的。但作为安全人员，还是不禁好奇，于是查资料写代码实验，终于发现他们的不同。在我明白了它们的不同之后，我调查了下周边做安全和开发的朋友，结果清一色的认为它们一样。

0x02 实验测试

我们以防御XSS漏洞的demo来实验，过滤器使用上篇文章的代码。

存在XSS漏洞的jsp页面代码

<% out.write(request.getParameter("str"));%>

web.xml中过滤器配置

...
<filter>
	<filter-name>CrossSiteScriptFilter</filter-name>
	<filter-class>me.gv7.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>CrossSiteScriptFilter</filter-name>
	<!-- <url-pattern>/*</url-pattern> -->
	<url-pattern>/</url-pattern>
	<dispatcher>REQUEST</dispatcher>
</filter-mapping>
...

通过演示的结果我们知道：

/*
/

0x03 最后总结

一般项目采用MVC架构之后，基本不会有程序猿继续在jsp文件写后端处理代码。然而这个世界很奇怪，正如墨菲定律说的那样，觉得不可能的往往会发生。而我们更不能把安全寄托于人性上，所以全局安全过滤器请设置作用范围为 /* 。

当我们在进行代码审计发现全局过滤器的作用范围为 / ,则可以着重检查jsp文件中是否包含后端处理代码，毕竟其不在过滤器保护范围内。