天行健,君子以自强不息;地势坤,君子以厚德载物

背景

近期,在系统进行三方检测时,会进行web扫描检测安全性。被检测到swagger-ui的不安全。根据调研,经验发现,即使按照以下方案处理,三方检测还是能检测到。

无法达到目的的方案

方案1

在swagger的配置文件中加上

new Docket().enable(false)

方案2

在swagger增加上Authorize也不行,还是能扫出来

方案3

删除swagger!!!!那工作量就大了去了,不嫌麻烦的可以试试。强烈不建议使用此方法。

检验方式

根据三方检测提供的资料,从蛛丝马迹中可以发现,使用如下命令,在浏览器中访问到参数,三方检测就会认为不安全。

# swagger2
view-source:http://localhost:8080/swagger-ui.html
# swagger3
view-source:http://localhost:8080/swagger-ui/index.html

image-20230906140012690

解决方案

增加knife4j增强方案

经过调研,可引入swagger的增强包knife4j,即可进行处理。knife4j的官网官方文档
本方案具体修改内容如下:

pom引入依赖

swagger2

如果系统引入的是swagger2,就引入knife4j2的版本(找最新版本引入,以下版本截止2023年9月8日,如果出现不兼容,就降版本兼容)

<dependency>
    <groupId>com.github.xiaoymin</groupId>
    <artifactId>knife4j-spring-boot-starter</artifactId>
    <version>2.0.9</version>
</dependency>

如果springfox版本为2.0.9,那就用

 <dependency>
    <groupId>com.github.xiaoymin</groupId>
    <artifactId>knife4j-spring-boot-starter</artifactId>
    <version>2.0.5</version>
</dependency>
swagger3

如果系统引入的是swagger3,就引入knife4j3的版本(找最新版本引入,以下版本截止2023年9月8日)

<dependency>
    <groupId>com.github.xiaoymin</groupId>
    <artifactId>knife4j-spring-boot-starter</artifactId>
    <version>3.0.3</version>
</dependency>

swagger配置类

在swagger的配置类上,增加注解,启动knife4j增强。(如果没有配置类,那就在@EnableSwager2的注解下面加)

@EnableKnife4j

yml中增加

在系统的配置文件yml(或properties)中增加

knife4j:
  # 开启增强配置
  enable: true
  # 此处如果是true,swagger就会彻底屏蔽掉无法调用,即是输入账号密码后,也无法访问
  #production: true
  basic:
    enable: true
    # Basic认证用户名
    username: test
    # Basic认证密码
    password: 123

效果

按照上面的方式进行配置后,当访问swagger的页面,会显示

image-20230906141358629

题外话

增加knife4j增强后,可访问{ip:port}/doc.html,访问到增强的swagger-ui页面,类似postman、apifox的页面,可以尝试,很好用!

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐