Tomcat 8 无法使用“|”处理获取请求在查询参数中?
Posted
技术标签:
【中文标题】Tomcat 8 无法使用“|”处理获取请求在查询参数中?【英文标题】:Tomcat 8 is not able to handle get request with '|' in query parameters? 【发布时间】:2017-04-24 12:47:18 【问题描述】:我使用的是 Tomcat 8。在一种情况下,我需要处理来自外部源的外部请求,其中该请求有一个由 |
分隔的参数。
请求是这样的:
http://localhost:8080/app/handleResponse?msg=name|id|
在这种情况下,我收到以下错误。
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
编辑 1
它适用于 Apache Tomcat 8.0.30,但不适用于 Tomcat 8.5
【问题讨论】:
好吧,我猜你得逃跑了 您查看过引用的 RFC 吗? 【参考方案1】:所有主要的 Tomcat 版本都引入了这种行为:
Tomcat 7.0.73、8.0.39、8.5.7要修复,请执行以下操作之一:
设置relaxedQueryChars
允许这个字符
(推荐,see Lincoln's answer)
设置requestTargetAllow
选项
(在 Tomcat 8.5 中已弃用)(see Jérémie's answer)。
您可以降级到旧版本之一(不推荐 - 安全)
基于changelog,这些更改可能会影响此行为:
Tomcat 8.5.3:
确保 HTTP 方法名称不是令牌的请求(按照 RFC 7231 的要求)被 400 响应拒绝
Tomcat 8.5.7:
在 HTTP 请求行解析中添加对有效字符的额外检查,以便更快地拒绝无效的请求行。
最好的选择(遵循标准) - 你想在客户端编码你的 URL:
encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C
或者只是查询字符串:
encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C
它将保护您免受其他有问题的字符 (list of invalid URI characters)。
【讨论】:
谢谢,我刚刚将我的apache-tomcat-8.5.11
降级为apache-tomcat-8.0.30
,它就像一个魅力。
@BhuwanGautam 我不建议降级 tomcat,因为最新的 tomcat 版本具有所有必要的 CVE 补丁,这些补丁可能已经影响了您的降级版本。对 URI 参数进行编码是一种解决方法 - 或使用 relaxedQueryChars
- 从长远来看,代码中使用保留的 RFC 3986 字符的任何地方都应该重构。
看来relaxedQueryChars
仍然只能破解。 Apache 有没有合适的解决方案?
对我来说,“encodeURIComponent”就像一个魅力! Tnx 用于描述替代修复。
spring boot case的属性文件有变化吗?【参考方案2】:
由于 Tomcat 7.0.76、8.0.42、8.5.12,您可以定义属性requestTargetAllow
以允许禁止字符。
将此行添加到您的catalina.properties
tomcat.util.http.parser.HttpParser.requestTargetAllow=|
【讨论】:
从 tomcat 8.5 开始 # 警告:使用此选项可能会将服务器暴露给 CVE-2016-6816 #tomcat.util.http.parser.HttpParser.requestTargetAllow=|【参考方案3】:问题: Tomcat (7.0.88) 抛出异常,导致 400 – 错误请求。
java.lang.IllegalArgumentException: Invalid character found in the request target.
The valid characters are defined in RFC 7230 and RFC 3986.
从 7.0.88 开始的大多数 tomcat 版本都会出现此问题。
解决方案:(由 Apache 团队建议):
Tomcat 提高了安全性,不再允许在查询字符串中使用原始方括号。在请求中我们有 [,](方括号),因此服务器不会处理请求。
server.xml(%TOMCAT_HOME%/conf)标签下添加relaxedQueryChars
属性:
<Connector port="80"
protocol="HTTP/1.1"
maxThreads="150"
connectionTimeout="20000"
redirectPort="443"
compression="on"
compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"
relaxedQueryChars="[,]"
/>
如果应用程序需要更多tomcat默认不支持的特殊字符,则将这些特殊字符添加到relaxedQueryChars
属性中,如上用逗号分隔。
【讨论】:
为我工作 DHIS2 的最新 tomcat 8,因为这对某些人有帮助!!!【参考方案4】:参数tomcat.util.http.parser.HttpParser.requestTargetAllow
自Tomcat 8.5起已弃用:tomcat official doc。
您可以在连接器定义中使用relaxedQueryChars / relaxedPathChars
来允许这些字符:tomcat official doc。
【讨论】:
在 8.5 中我尝试了这些,但没有任何效果。最好的选择是始终对您的网址进行编码。【参考方案5】:URI 被编码为 UTF-8,但 Tomcat 将它们解码为 ISO-8859-1。您需要在 server.xml 中编辑连接器设置并添加 URIEncoding="UTF-8" 属性。
或在您的 application.properties 上编辑此参数
server.tomcat.uri-encoding=utf-8
【讨论】:
server.xml 中逃脱它。管道符号是随着时间的推移和浏览器之间的不同处理的符号。例如,Chrome 和 Firefox 在复制/粘贴时使用管道以不同方式转换 URL。但是,似乎与 Tomcat 8.5 最兼容且最必要的是转义它:
http://localhost:8080/app/handleResponse?msg=name%7Cid%7C
【讨论】:
【参考方案7】:向 server.xml 添加“relaxedQueryChars”属性对我有用:
<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="443" URIEncoding="UTF-8" relaxedQueryChars="[]|^\`"<>"/>
【讨论】:
如何在url中允许#? RelaxQueryChars="^|[]_#" 并且我使用的是 tomcat 8.5.27 尝试:#所以也许是这样的:relaxQueryChars="[]|^\`"<>#"以上是关于Tomcat 8 无法使用“|”处理获取请求在查询参数中?的主要内容,如果未能解决你的问题,请参考以下文章
无法发送 Https 请求(在 SSLv3 中运行 Tomcat 8.5)
严重:无法在 Tomcat 7 && Java 8 中处理 Jar 条目 [module-info.class]
在调用处理程序之前使用 Tomcat 8 和 Spring 4 ClassCastException 的 websockets