• Java程序员注意:Tomcat Get请求的巨坑!


    image

    Tomcat8.5,当Get请求中包含了未经编码的中文字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了。

    Tomcat报错:

    java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

    返回400错误:

    Transfer-Encoding—>[chunked]
    null—>[HTTP/1.1 400 Bad Request]
    Server—>[Apache-Coyote/1.1]
    Connection—>[close]
    Date—>[Wed, 07 Feb 2018 03:19:04 GMT]

    根据错误找到了Tomcat最新的源码:

    org/apache/coyote/http11/LocalStrings.properties

    iib.invalidRequestTarget=Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

    org/apache/coyote/http11/Http11InputBuffer.java

    boolean parseRequestLine(boolean keptAlive) throws IOException {
    
    ...
    
        } else if (HttpParser.isNotRequestTarget(chr)) {
            throw new IllegalArgumentException(sm.getString("iib.invalidRequestTarget"));
        }
    
    ...
    
    }

    java/org/apache/tomcat/util/http/parser/HttpParser.java

    public static boolean isNotRequestTarget(int c) {
        // Fast for valid request target characters, slower for some incorrect
        // ones
        try {
            return IS_NOT_REQUEST_TARGET[c];
        } catch (ArrayIndexOutOfBoundsException ex) {
            return true;
        }
    }

    查源码发现在Tomcat7.0.73就已经添加了RFC 3986这个规范。

    RFC 3986文档对Url的编解码问题做出了详细的建议,指出了哪些字符需要被编码才不会引起Url语义的转变,以及对为什么这些字符需要编码做出了相应的解释。

    RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(! * ’ ( ) ; : @ & = + $ , / ? # [ ])。

    还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。

    • 空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。
    • 引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用
    • #:通常用于表示书签或者锚点
    • %:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
    • {}|^[]`~:某一些网关或者传输代理会篡改这些字符

    对于此问题,有以下几种解决方案。

    1、切换版本到7.0.73以下,这个不实际。

    2、修改Tomcat源码,这个也不实际。

    3、前端请求对URL编码。

    4、修改Get方法为Post方法。

    5、因{}是不安全字符,默认被 tomcat拦截。如果需要在URL中传输json数据,在catalina.properties中添加支持。

    tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

    总结

    如果Get请求在合作方,而合作方不愿意修改代码,那1、2种方法可以尝试。如果Get请求在自己,可以尝试3、4种方法。仅需要在URL上传输json数据,使用第5种方法即可。

    推荐:成为架构师的十阶段学习资料

    如果对你有用,欢迎分享到朋友圈

    image

  • 相关阅读:
    C++11线程池
    muduo的事件处理(Reactor模型关键结构)
    sed和awk
    gdb
    C#访问级别
    C#表达式树浅析
    C#并发实战Parallel.ForEach使用
    c#获取本月有哪些周六、周日
    重装了Devexpress后项目报Dll引用找不到问题解决办法
    C#单例模式
  • 原文地址:https://www.cnblogs.com/java-stack/p/11952487.html
Copyright © 2020-2023  润新知