使用 Spring Webclient 如何验证主机名验证是否发生

问题描述投票：0回答：1

我有一个使用 Spring Webclient/Webflux 和 Reactor-Netty 的项目。我们的漏洞扫描器检测到 Netty 并抱怨它被配置为默认情况下不进行主机名验证（CWE-295）。

使用 Spring WebClient 时，主机名验证默认启用还是禁用？如何证明 WebClient 正在进行主机名验证？

netty.com 4.1.100 春季启动 3.1.5

spring spring-boot netty webclient

1个回答

0
投票

Reactor Netty 默认情况下不易受到攻击，因为它默认启用主机名验证。如果您已将 Reactor Netty 配置为使用自定义

SslProvider

，那么除非您启用了主机名验证，否则您将容易受到攻击。您可以在此 Spring Boot 问题评论中了解更多信息。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.