产品供销存-后端
上一版本: d40f3d17 | 补丁 | 提交 | 显示空白
RuoYi
2022-01-06 0dc26533584ea2269917d00aebc5b12a1017d121 
定时任务目标字符串验证包名白名单
已修改3个文件
51 ■■■■■ 文件已修改
src/main/java/com/ruoyi/common/constant/Constants.java 12 ●●●●● 补丁 | 查看 | 原始文档 | blame | 历史
src/main/java/com/ruoyi/common/utils/job/ScheduleUtils.java 22 ●●●●● 补丁 | 查看 | 原始文档 | blame | 历史
src/main/java/com/ruoyi/project/monitor/controller/SysJobController.java 17 ●●●● 补丁 | 查看 | 原始文档 | blame | 历史 
 src/main/java/com/ruoyi/common/constant/Constants.java


@@ -150,8 +150,18 @@


    public static final String LOOKUP_LDAP = "ldap:";







    /**



     * LDAPS 远程方法调用



     */



    public static final String LOOKUP_LDAPS = "ldaps:";







    /**



     * 定时任务白名单配置(仅允许访问的包名,如其他需要可以自行添加)



     */



    public static final String[] JOB_WHITELIST_STR = { "com.ruoyi" };







    /**



     * 定时任务违规的字符



     */



    public static final String[] JOB_ERROR_STR = { "java.net.URL", "javax.naming.InitialContext", "org.yaml.snakeyaml",



            "org.springframework" };



            "org.springframework", "org.apache" };



}





 src/main/java/com/ruoyi/common/utils/job/ScheduleUtils.java


@@ -10,9 +10,11 @@


import org.quartz.SchedulerException;



import org.quartz.TriggerBuilder;



import org.quartz.TriggerKey;



import com.ruoyi.common.constant.Constants;



import com.ruoyi.common.constant.ScheduleConstants;



import com.ruoyi.common.exception.job.TaskException;



import com.ruoyi.common.exception.job.TaskException.Code;



import com.ruoyi.common.utils.StringUtils;



import com.ruoyi.project.monitor.domain.SysJob;







/**



@@ -110,4 +112,24 @@


                        + "' cannot be used in cron schedule tasks", Code.CONFIG_ERROR);



        }



    }







    /**



     * 检查包名是否为白名单配置



     * 


     * @param invokeTarget 目标字符串



     * @return 结果



     */



    public static boolean whiteList(String invokeTarget)



    {



        String packageName = StringUtils.substringBefore(invokeTarget, ")");



        int count = StringUtils.countMatches(packageName, ".");



        if (count > 1)



        {



            if (!StringUtils.containsAnyIgnoreCase(invokeTarget, Constants.JOB_WHITELIST_STR))



            {



                return false;



            }



        }



        return true;



    }



}




 src/main/java/com/ruoyi/project/monitor/controller/SysJobController.java


@@ -17,6 +17,7 @@


import com.ruoyi.common.exception.job.TaskException;



import com.ruoyi.common.utils.StringUtils;



import com.ruoyi.common.utils.job.CronUtils;



import com.ruoyi.common.utils.job.ScheduleUtils;



import com.ruoyi.common.utils.poi.ExcelUtil;



import com.ruoyi.framework.aspectj.lang.annotation.Log;



import com.ruoyi.framework.aspectj.lang.enums.BusinessType;



@@ -89,17 +90,21 @@


        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不允许'rmi:'调用");



        }



        else if (StringUtils.containsIgnoreCase(job.getInvokeTarget(), Constants.LOOKUP_LDAP))



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), new String[] { Constants.LOOKUP_LDAP, Constants.LOOKUP_LDAPS }))



        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不允许'ldap:'调用");



        }



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), new String[] { Constants.HTTP, Constants.HTTPS }))



        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不允许'http(s)//'调用");



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不允许'http(s)'调用");



        }



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), Constants.JOB_ERROR_STR))



        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串存在违规");



        }



        else if (!ScheduleUtils.whiteList(job.getInvokeTarget()))



        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不在白名单内");



        }



        job.setCreateBy(getUsername());



        return toAjax(jobService.insertJob(job));



@@ -121,18 +126,22 @@


        {



            return error("修改任务'" + job.getJobName() + "'失败,目标字符串不允许'rmi'调用");



        }



        else if (StringUtils.containsIgnoreCase(job.getInvokeTarget(), Constants.LOOKUP_LDAP))



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), new String[] { Constants.LOOKUP_LDAP, Constants.LOOKUP_LDAPS }))



        {



            return error("修改任务'" + job.getJobName() + "'失败,目标字符串不允许'ldap'调用");



        }



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), new String[] { Constants.HTTP, Constants.HTTPS }))



        {



            return error("修改任务'" + job.getJobName() + "'失败,目标字符串不允许'http(s)//'调用");



            return error("修改任务'" + job.getJobName() + "'失败,目标字符串不允许'http(s)'调用");



        }



        else if (StringUtils.containsAnyIgnoreCase(job.getInvokeTarget(), Constants.JOB_ERROR_STR))



        {



            return error("修改任务'" + job.getJobName() + "'失败,目标字符串存在违规");



        }



        else if (!ScheduleUtils.whiteList(job.getInvokeTarget()))



        {



            return error("新增任务'" + job.getJobName() + "'失败,目标字符串不在白名单内");



        }



        job.setUpdateBy(getUsername());



        return toAjax(jobService.updateJob(job));



    }