专栏首页Java技术栈Java程序员注意:Tomcat Get请求的巨坑!

Java程序员注意:Tomcat Get请求的巨坑!

Tomcat8.5,当Get请求中包含了未经编码的中文字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了。

Tomcat报错:

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

返回400错误:

Transfer-Encoding--->[chunked] null--->[HTTP/1.1 400 Bad Request] Server--->[Apache-Coyote/1.1] C onnection--->[close] Date--->[Wed, 07 Feb 2018 03:19:04 GMT]

根据错误找到了Tomcat最新的源码:

org/apache/coyote/http11/LocalStrings.properties

iib.invalidRequestTarget=Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

org/apache/coyote/http11/Http11InputBuffer.java

boolean parseRequestLine(boolean keptAlive) throws IOException {

...

    } else if (HttpParser.isNotRequestTarget(chr)) {
        throw new IllegalArgumentException(sm.getString("iib.invalidRequestTarget"));
    }

...

}

java/org/apache/tomcat/util/http/parser/HttpParser.java

public static boolean isNotRequestTarget(int c) {
    // Fast for valid request target characters, slower for some incorrect
    // ones
    try {
        return IS_NOT_REQUEST_TARGET[c];
    } catch (ArrayIndexOutOfBoundsException ex) {
        return true;
    }
}

查源码发现在Tomcat7.0.73就已经添加了RFC 3986这个规范。

RFC 3986文档对Url的编解码问题做出了详细的建议,指出了哪些字符需要被编码才不会引起Url语义的转变,以及对为什么这些字符需要编码做出了相应的解释。

RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(! * ' ( ) ; : @ & = + $ , / ? # [ ])。

还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。

  • 空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。
  • 引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用
  • #:通常用于表示书签或者锚点
  • %:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
  • {}|\^[]`~:某一些网关或者传输代理会篡改这些字符

对于此问题,有以下几种解决方案。

1、切换版本到7.0.73以下,这个不实际。

2、修改Tomcat源码,这个也不实际。

3、前端请求对URL编码。

4、修改Get方法为Post方法。

5、因{}是不安全字符,默认被 tomcat拦截。如果需要在URL中传输json数据,在catalina.properties中添加支持。

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

总结

如果Get请求在合作方,而合作方不愿意修改代码,那1、2种方法可以尝试。如果Get请求在自己,可以尝试3、4种方法。仅需要在URL上传输json数据,使用第5种方法即可。

本文分享自微信公众号 - Java技术栈(javastack),作者:爱你们的

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-03-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 为什么要进行 URL 编码???

    我们都知道Http协议中参数的传输是"key=value"这种简直对形式的,如果要传多个参数就需要用“&”符号对键值对进行分割。

    Java技术栈
  • 7张图了解 Spring Cloud 的整体构架!

    Java技术栈
  • 出去面试,被一道 Spring 面试题难倒了

    IOC(Inversion Of Controll,控制反转)是一种设计思想,将原本在程序中手动创建对象的控制权,交由给Spring框架来管理。IOC容器是Sp...

    Java技术栈
  • jfinal自定义freemarker标签

    jfinal自定义freemarker标签 ---- 1. config修改freemarkerrender public void after...

    冷冷
  • 【DB笔试面试551】在Oracle中,位图索引是什么?

    位图索引(Bitmap Indexes)是一种使用位图的特殊数据库索引。它针对大量相同值的列而创建,例如:类别、型号等。位图索引块的一个索引行中存储的是键值(以...

    小麦苗DBA宝典
  • Jenkins 中以构建 Tag 来实现版本管理

    好的工具和流程能使我们事半功倍,而这个过程是不断迭代和演进的。关于这一块的内容,之前写过几篇文章:

    oec2003
  • 信息论:毫米波通信中基于通道指纹的波束跟踪

    原文题目:Channel Fingerprint Based Beam Tracking for Millimeter Wave Communications

    李欣颖6837176
  • iPhone XR XS 底部固定定位偏移解决方案

    最近在做一个活动页时,发现当上滑页面时,底部固定定位的按钮也跟着移动了一点,当下滑时,又会回到原来位置。

    吴裕超
  • 推荐15-php异或计算绕过preg_match()

    在制作免杀马的过程,根据php的语言特性对字符进行!运算会将字符类型转为bool类型,而bool类型遇到运算符号时,true会自动转为数字1,false会自动转...

    猿哥
  • 本地yum源部署记录

    由于IDC的一些服务器没有外网,不能对外访问。所以打算部署一套内网的yum源环境,以供内网服务器使用。以下简单记录下操作过程: 1)下载centos6.9和ce...

    洗尽了浮华

扫码关注云+社区

领取腾讯云代金券