Spring MVC MultipartResolver特性-QP编码

今天看Spring的Multipart处理发现一段比较奇怪的代码:

20180803094501_282.png
奇怪的是Spring为什么会对“=?”、“?=”进行特殊处理?跟进后发现这玩意是QP编码,用来解决邮件内附件编码问题。Spring调用了java mail的api对文件上传的附件文件名称进行了QP编码。

既然已知Spring的这个特性,那么某些时候或许就可以通过对文件名称进行编码来绕过传统的waf、cdn的防御了。

利用Java mail库生成特殊的文件名:
2.png

上传进行编码后的文件:

3.png

Spring会做decode解析:
4.png

原文地址:http://p2j.cn/?p=1868

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码
评论列表
  1. 这个就牛逼了。

添加新评论