- 场景
- 解决方案
- 方案一 配置健康检查
- 遇到的问题
- 方案二 配置security(略)
公司安扫,发现很多项目有 Spring Boot Actuator未授权访问漏洞。
描述:
引入actuator的项目,很多路径未授权就可以访问。例如: /info、/beans等。
实际这些都不应开放,最对只开放个健康检查/health。
endpoints.enabled = false endpoints.health.enabled = true
对,你没看错,就是这么简单。
遇到的问题apollo配置了,服务也重启了,就是不生效。
为此差点怀疑人生,本地开了个项目,这么配置是没问题的。
说明apollo这么配置是不行的。
改为本地启动时加上参数(在jar前即可):
-Dendpoints.enabled=false -Dendpoints.health.enabled=true方案二 配置security(略)
