HAProxy中多斜杠路径的ACL过滤问题解析

问题背景

在使用HAProxy作为反向代理时，管理员经常会配置基于路径的访问控制规则(ACL)来限制对特定URL的访问。然而，当请求路径中包含多个连续的斜杠时(如//admin.php)，这些ACL规则可能会意外失效，导致安全防护被绕过。

技术原理

HAProxy默认情况下会将请求路径原样传递给后端服务器，包括其中的多个连续斜杠。这与大多数Web服务器和应用框架的处理方式不同，后者通常会将多个斜杠合并为单个斜杠。这种差异导致了安全规则的不一致：

1. ACL匹配机制：当配置path_beg -i /admin.php时，HAProxy严格匹配以/admin.php开头的路径，而不会自动处理//admin.php这样的变体

2. 后端处理：大多数Web服务器(如Apache、Nginx)和Web框架(PHP、Django等)会自动将多个斜杠合并，因此//admin.php和/admin.php会被视为相同的路径

解决方案

1. 使用更灵活的匹配方式

可以采用包含匹配而非前缀匹配：

acl restricted_path path_sub,url_dec -m sub -i /admin.php

这种方法可以捕获路径中包含目标字符串的所有请求，但可能会产生误报。

2. 启用URI规范化功能(实验性)

HAProxy提供了实验性的URI规范化功能，可以显式启用：

global
  expose-experimental-directives

frontend haproxy
  http-request normalize-uri path-merge-slashes

此功能会先将多个斜杠合并为单个斜杠，再进行ACL匹配，确保规则的一致性。

安全建议

1. 防御深度：不应仅依赖HAProxy的路径过滤作为唯一安全措施，后端应用也应实施权限验证

2. 测试验证：部署ACL规则后，应测试各种路径变体(包括URL编码、多斜杠等)以确保防护有效性

3. 日志监控：记录被拒绝的请求，分析潜在的恶意访问尝试

技术权衡

URI规范化未被设为默认行为有其技术考量：

• 某些特殊应用可能依赖原始URI格式
• 规范化处理会增加少量性能开销
• 保持与历史配置的兼容性

总结

HAProxy作为高性能代理，默认保持URI原始性的设计有其合理性。管理员应当了解这一特性，并根据实际安全需求选择合适的防护策略。对于大多数Web应用场景，启用路径规范化是推荐做法，可以避免因路径解析差异导致的安全问题。