一尘不染

Tomcat 8无法处理带有“ |”的获取请求 在查询参数?

tomcat

我正在使用Tomcat8。在一种情况下,我需要处理来自外部源的外部请求,其中该请求的参数由分隔|

请求看起来像这样:

http://localhost:8080/app/handleResponse?msg=name|id|

在这种情况下,我得到以下错误。

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)

编辑1

它适用于Apache Tomcat 8.0.30,但不适用于Tomcat 8.5


阅读 366

收藏
2020-06-16

共1个答案

一尘不染

在所有主要的Tomcat版本中都引入了此行为:

  • Tomcat的 7.0.738.0.398.5.7

要解决此问题,请执行以下一项操作:

  • 设置relaxedQueryChars为允许使用此字符
  • set requestTargetAllow选项(在Tomcat 8.5中已弃用)。
  • 您可以降级到较旧的版本之一(不推荐-安全)

基于changelog,这些更改可能会影响此行为:

Tomcat 8.5.3:

确保使用非令牌的HTTP方法名称的请求(RFC 7231要求)被拒绝,并带有400响应

Tomcat 8.5.7:

将其他对有效字符的检查添加到HTTP请求行解析中,以便更快地拒绝无效的请求行。


最好的选择(遵循标准) -您想在客户端上对URL进行编码:

encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

或只是查询字符串:

encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C

它将保护您免受其他有问题的字符(无效URI字符列表)的侵害

2020-06-16