甚至在请求到达过滤器之前，在 Spring Boot 中返回 400 错误请求

Posted 2023-02-27

【中文标题】甚至在请求到达过滤器之前，在 Spring Boot 中返回 400 错误请求

【英文标题】：400 bad request returned in spring boot even before the request reaches filter

【发布时间】：2019-06-02 12:01:05

【问题描述】：

我有一个带有 GET 服务的 Spring Boot 应用程序。

@RequestMapping(value = "/abc/track/type", method = RequestMethod.GET)

    public void DummFunc(                            
          @RequestParam(value="subs", required = false) String sub,
,  HttpServletResponse response) 

subs 的值是一个编码值。

如果我将以下作为值传递给参数 subs

%22endpoint%22:%22https://def.abc.com/tyu/send/eD3vpGNQW28:APA91bHOo8rYrV0xccdQz3okjZJG-QGrJX8LG6ahJnEUpMNfGedqi3hJxQsJx_8BMbH6oDjaSPPEXqzNWchWrGSkhuTkSdemikkys1U22Ipd7MsRw0owWbw89V2fslIVAJ6G5lkyvYuQ%22,%22expirationTime%22:null,%22keys%22:%22p256dh%22:%22BK0pktn50CMsTQtqwdPlKlJtdFs0LFeXX14T1zgoz6QWnvSTp5dxtChnUP5P1JX0TsjcopbdPKyN31HfABMUyic%22,%22auth%22:%22qbO_z0vGao9wD-E5g8VU-A%22

捕获请求失败，控制不在函数内部。

如果我们改为将值传递给参数 subs：

%7B%22endpoint%22:%22https://def.abc.com/tyu/send/dX5q5eV7hFQ:APA91bHib-0QXrMzjatcvTR_uaIeeJK8lf6GmXUC9Jxv0Oxth-BzD4GmWnd4-YpDZv8qSFZ0eSg9mB2YkRvkc5ezdXW5KeaHjuQZfdyDxyBXjJgE-25Xbtlk37pdm8vfLk20k0k_VxW9%22,%22expirationTime%22:null,%22keys%22:%7B%22p256dh%22:%22BCCvcBLpRqp4u0auP688_MUJLsAiwWlQSn5kpyl8YVsEo_J-KpSdnhCmVIE_BhDXBcFYflPK52hqhYf3EaOCyuY%22,%22auth%22:%22iKuW_ESkCZnubWcQu_JK8w%22%7D%7D

效果很好。

基本上，有问题通过的请求有和而不是%7B和%7D。

我的问题不是应用程序因 400 错误请求而失败，而是如何在我的应用程序中捕获此类请求，正确编码然后处理它们，或者可能至少处理此错误

另外，我尝试添加过滤器和 RestControllerAdvice。

目前的调查结果：

我意识到可能请求甚至没有到达应用程序，因为如果我从映射到请求/abc/track/type 的代码中删除DummFunc，它仍然不会返回404，而只会返回400。 CommonsLoggingFilter 没有使用 400 错误响应代码记录此特定请求，但能够记录其余请求（另一个提示请求未命中应用程序 - 我猜） 在调试时，我意识到如果我从Postman 的chrome 应用程序和浏览器访问此API，它会返回400 Bad request，但如果我从桌面Postman 应用程序访问此API，它会返回200。 我还尝试通过一个新类在控制器中添加异常处理程序，但它们都没有捕获请求

// @ResponseStatus(HttpStatus.BAD_REQUEST)
        @ExceptionHandler(Throwable.class)
        public void handle(HttpMessageNotReadableException e) 
            System.out.println("EXCEPTION HAPPENED");
            System.out.println(e);
        

在我的application.properties中，相关的props如下：

spring.http.encoding.charset=UTF-8
spring.http.encoding.enabled=true
spring.http.encoding.force=true

#security.user.name=user
#security.basic.enabled=true


logging.level.org.springframework.web.filter.CommonsRequestLoggingFilter=DEBUG,stdout
log4j.logger.httpclient.wire=DEBUG,stdout
management.endpoints.web.exposure.include=*
management.endpoint.beans.cache.time-to-live=10s
server.tomcat.accesslog.enabled = true
log4j.logger.org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod=DEBUG,stdout
logging.level.org.springframework.web=DEBUG,stdout
server.tomcat.uri-encoding=UTF-8

那么，有什么办法可以妥善处理呢？

我正在使用IntelliJ，它嵌入了Tomcat 服务器。

【参考方案1】：

我强烈建议您使用RequestMethod.POST 而不是RequestMethod.GET。

"", "", "|", "\", "^", "~", "[", "]", and ""` 都是“不安全的字符”，你使用 %7B 和 %7D 真是太聪明了，这应该行得通，只要确保你以正确的顺序使用 %7B 和 %7D。

在 Postman 上它们可以工作，因为 Postman 将大括号解释为环境变量。如果我错了，请纠正我，但我猜 Postman 会返回 200，但您的应用程序仍然没有收到任何数据。 （对吧？）

还有另一种可能的解决方案... 400 表示错误假设在客户端，只需尝试将加密数据作为简单字符串发送，然后在服务器端处理此字符串。

祝你好运！

【讨论】：

没有。一个版本的 Postman 返回 400，另一个返回 200。浏览器和其他客户端，总是 400。我意识到问题所在并发布了答案。

【参考方案2】：

基本上，问题是Tomcat 没有让请求通过。

此行为是在 Tomcat 7.0.76、8.0.42 和 8.5.12 中引入的，以符合 RFC 7231。

可以使用catalina.properties 中的属性 requestTargetAllow 来恢复这种强制检查以允许禁止字符：

tomcat.util.http.parser.HttpParser.requestTargetAllow=|

由于我在 Intellij 中使用嵌入式 tomcat，无法直接编辑 cataline.properties，所以我添加了

-Dtomcat.util.http.parser.HttpParser.requestTargetAllow=|

到VM OptionsRun -> Edit Configuration。