当前位置：首页 > news >正文

springboot logback 日志注入安全问题统一处理

news 2025/6/18 1:35:51

背景

日志注入一般指的是恶意用户输出换行等内容，混淆正常的日志，导致排查问题是无法正确定位问题，因此，我们需要对要打印的日志内容进行过滤。
但是，如果是每个接口单独处理的话，成本较高，因此，我们需要一个统一处理的机制。

当然，统一处理可能会误伤正常的日志，这个需要自己进行斟酌了。我们在绝大情况下不会在打印日志的内容中使用换行等特殊字符，所以这样处理我认为是比较稳妥的。

这个处理仅会对用户输入的参数进行处理，不会对堆栈的正常的内容处理，所以大部分的日志是可以正常打印出来的。

方案

springboot集成的logback，其配置文件是 org/springframework/boot/logging/logback/base.xml，其默认参数配置都在org/springframework/boot/logging/logback/defaults.xml。我们不打算修改这些配置，而是沿用。

我们对logback进行定制，spring集成的默认log_pattern为：-%clr(%d{${LOG_DATEFORMAT_PATTERN:-yyyy-MM-dd'T'HH:mm:ss.SSSXXX}}){faint} %clr(${LOG_LEVEL_PATTERN:-%5p}) %clr(${PID:- }){magenta} %clr(---){faint} %clr(%applicationName[%15.15t]){faint} %clr(${LOG_CORRELATION_PATTERN:-}){faint}%clr(%-40.40logger{39}){cyan} %clr(:){faint} %m%n${LOG_EXCEPTION_CONVERSION_WORD:-%wEx}}，中间可以全部不管，输出的重点就是靠后部分的%m，这个是一个Converter，对消息进行处理，默认是不进行任何处理，直接输出原消息，我们对他进行定制。

我们自定义自己的Converter:


import ch.qos.logback.classic.pattern.ClassicConverter;
import ch.qos.logback.classic.spi.ILoggingEvent;
import org.slf4j.helpers.MessageFormatter;/*** @author */
public class LineSeparatorConverter extends ClassicConverter {@Overridepublic String convert(ILoggingEvent event) {Object[] argumentArray = event.getArgumentArray();// 没有用户传入的参数，直接返回if (argumentArray == null || argumentArray.length == 0) {return event.getFormattedMessage();}Object[] argumentArrayProcessed = new Object[argumentArray.length];for (int i = 0; i < argumentArray.length; i++) {Object o = argumentArray[i];if (o == null || o instanceof Throwable) {argumentArrayProcessed[i] = o;} else {String oString = o.toString();argumentArrayProcessed[i] = cleanLineSeparator(oString);}}return getFormattedMessage(event.getMessage(), argumentArrayProcessed);}public String getFormattedMessage(String message, Object[] argumentArray) {String formattedMessage;if (argumentArray != null) {formattedMessage = MessageFormatter.arrayFormat(message, argumentArray).getMessage();} else {formattedMessage = message;}return formattedMessage;}private String cleanLineSeparator(String line) {if (line == null || line.isEmpty()) {return line;}return line.replace("\n", "\\n").replace("\r", "\\r");}}

然后，声明logback-spring.xml，使用spring的默认配置，并且覆盖%m的默认Converter，改成我们自己的

<?xml version="1.0" encoding="UTF-8"?><configuration scan="true" scanPeriod="60 seconds" debug="false"><include resource="org/springframework/boot/logging/logback/base.xml"/><!-- 将默认的输出器改为自定义输出器，会替换掉换行符，防止日志注入 --><conversionRule conversionWord="m"converterClass="xxx.LineSeparatorConverter"/></configuration>

如果放到了resources目录下，该文件应该可以正常识别到，不需要额外配置。
如果日志处理是一个maven的子模块，那就手动声明一下文件位置
logging.config=classpath:logback-spring.xml，
如果放到其他目录，写成：logging.config=file:/xxx/xxx/logback-spring.xml

springboot logback 日志注入安全问题统一处理

背景

方案

相关文章：

springboot logback 日志注入安全问题统一处理

linux进阶高级配置，你需要知道的有哪些(13)-Squid代理服务器

SpringBoot自动装配（二）

数据结构顺序表1

C++基础-编程练习题1

四十九坊股权设计，白酒新零售分红制度，新零售策划机构

如何将公众号添加到CSDN个人主页

64K方法数限制原理及解决方案

产品品牌CRUD

惠普发布全新AI战略，重塑办公空间引领企业智能化新浪潮

python中的数据可视化：极坐标散点图

5.12.1 Detecting and classifying lesions in mammograms with Deep Learning

Python爬虫——如何使用urllib的HTTP基本库

OceanBase v4.3特性解析：新功能“租户克隆”的场景与应用指南

RS3236-3.3YUTDN4功能和参数介绍及PDF资料

Vue如何引入公用方法

Java面试题:ConcurrentHashMap

现在闪侠惠递寄快递有福利了，千万不要因没把握住而后悔呀！

vue+ant-design+formBuiler表单构建器——技能提升——form design——亲测有效

Git 如何管理标签命令(tag)

Qt/C++开发监控GB28181系统/取流协议/同时支持udp/tcp被动/tcp主动

QMC5883L的驱动

线程与协程

【网络安全产品大调研系列】2. 体验漏洞扫描

渲染学进阶内容——模型

多模态商品数据接口：融合图像、语音与文字的下一代商品详情体验

css3笔记（1）自用

selenium学习实战【Python爬虫】

Java求职者面试指南：Spring、Spring Boot、MyBatis框架与计算机基础问题解析

在QWebEngineView上实现鼠标、触摸等事件捕获的解决方案