我有一个使用 Spring Webclient/Webflux 和 Reactor-Netty 的项目。我们的漏洞扫描器检测到 Netty 并抱怨它被配置为默认情况下不进行主机名验证(CWE-295)。
使用 Spring WebClient 时,主机名验证默认启用还是禁用? 如何证明 WebClient 正在进行主机名验证?
netty.com 4.1.100 春季启动 3.1.5
Reactor Netty 默认情况下不易受到攻击,因为它默认启用主机名验证。如果您已将 Reactor Netty 配置为使用自定义
SslProvider
,那么除非您启用了主机名验证,否则您将容易受到攻击。您可以在此 Spring Boot 问题评论中了解更多信息。