Tomcat 8 无法使用“|”处理获取请求在查询参数中？

Posted 2023-02-26

【中文标题】Tomcat 8 无法使用“|”处理获取请求在查询参数中？

【英文标题】：Tomcat 8 is not able to handle get request with '|' in query parameters?

【发布时间】：2017-04-24 12:47:18

【问题描述】：

我使用的是 Tomcat 8。在一种情况下，我需要处理来自外部源的外部请求，其中该请求有一个由 | 分隔的参数。

请求是这样的：

http://localhost:8080/app/handleResponse?msg=name|id|

在这种情况下，我收到以下错误。

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)

编辑 1

它适用于 Apache Tomcat 8.0.30，但不适用于 Tomcat 8.5

【问题讨论】：

好吧，我猜你得逃跑了

您查看过引用的 RFC 吗？

【参考方案1】：

所有主要的 Tomcat 版本都引入了这种行为：

Tomcat

7.0.73

、

8.0.39

、

8.5.7

要修复，请执行以下操作之一：

设置relaxedQueryChars 允许这个字符 （推荐，see Lincoln's answer） 设置requestTargetAllow选项 （在 Tomcat 8.5 中已弃用）(see Jérémie's answer)。 您可以降级到旧版本之一（不推荐 - 安全）

---

基于changelog，这些更改可能会影响此行为：

Tomcat 8.5.3：

确保 HTTP 方法名称不是令牌的请求（按照 RFC 7231 的要求）被 400 响应拒绝

Tomcat 8.5.7：

在 HTTP 请求行解析中添加对有效字符的额外检查，以便更快地拒绝无效的请求行。

---

最好的选择（遵循标准） - 你想在客户端编码你的 URL：

encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

或者只是查询字符串：

encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C

它将保护您免受其他有问题的字符 (list of invalid URI characters)。

【讨论】：

谢谢，我刚刚将我的apache-tomcat-8.5.11 降级为apache-tomcat-8.0.30，它就像一个魅力。

@BhuwanGautam 我不建议降级 tomcat，因为最新的 tomcat 版本具有所有必要的 CVE 补丁，这些补丁可能已经影响了您的降级版本。对 URI 参数进行编码是一种解决方法 - 或使用 relaxedQueryChars - 从长远来看，代码中使用保留的 RFC 3986 字符的任何地方都应该重构。

看来relaxedQueryChars 仍然只能破解。 Apache 有没有合适的解决方案？

对我来说，“encodeURIComponent”就像一个魅力！ Tnx 用于描述替代修复。

spring boot case的属性文件有变化吗？

【参考方案2】：

由于 Tomcat 7.0.76、8.0.42、8.5.12，您可以定义属性requestTargetAllow 以允许禁止字符。

将此行添加到您的catalina.properties

tomcat.util.http.parser.HttpParser.requestTargetAllow=|

【讨论】：

从 tomcat 8.5 开始 # 警告：使用此选项可能会将服务器暴露给 CVE-2016-6816 #tomcat.util.http.parser.HttpParser.requestTargetAllow=|

【参考方案3】：

问题： Tomcat (7.0.88) 抛出异常，导致 400 – 错误请求。

java.lang.IllegalArgumentException: Invalid character found in the request target. 
The valid characters are defined in RFC 7230 and RFC 3986.

从 7.0.88 开始的大多数 tomcat 版本都会出现此问题。

解决方案：（由 Apache 团队建议）：

Tomcat 提高了安全性，不再允许在查询字符串中使用原始方括号。在请求中我们有 [,]（方括号），因此服务器不会处理请求。

server.xml(%TOMCAT_HOME%/conf)标签下添加relaxedQueryChars属性：

<Connector port="80" 
           protocol="HTTP/1.1"
           maxThreads="150"
           connectionTimeout="20000"
           redirectPort="443"
           compression="on"
           compressionMinSize="2048"
           noCompressionUserAgents="gozilla, traviata"
           compressableMimeType="text/html,text/xml"
                                     relaxedQueryChars="[,]"
             />

如果应用程序需要更多tomcat默认不支持的特殊字符，则将这些特殊字符添加到relaxedQueryChars属性中，如上用逗号分隔。

【讨论】：

为我工作 DHIS2 的最新 tomcat 8，因为这对某些人有帮助！！！

【参考方案4】：

参数tomcat.util.http.parser.HttpParser.requestTargetAllow自Tomcat 8.5起已弃用：tomcat official doc。

您可以在连接器定义中使用relaxedQueryChars / relaxedPathChars 来允许这些字符：tomcat official doc。

【讨论】：

在 8.5 中我尝试了这些，但没有任何效果。最好的选择是始终对您的网址进行编码。

【参考方案5】：

URI 被编码为 UTF-8，但 Tomcat 将它们解码为 ISO-8859-1。您需要在 server.xml 中编辑连接器设置并添加 URIEncoding="UTF-8" 属性。

或在您的 application.properties 上编辑此参数

server.tomcat.uri-encoding=utf-8

【讨论】：

server.xml 中 元素上的 URIEncoding 属性为特定内容（例如 URIEncoding="UTF-8"） (wiki.apache.org/tomcat/FAQ/CharacterEncoding)

@hwak 你的链接失效了

找到类似链接cwiki.apache.org/confluence/display/TOMCAT/Character+Encoding

【参考方案6】：

逃脱它。管道符号是随着时间的推移和浏览器之间的不同处理的符号。例如，Chrome 和 Firefox 在复制/粘贴时使用管道以不同方式转换 URL。但是，似乎与 Tomcat 8.5 最兼容且最必要的是转义它：

http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

【参考方案7】：

向 server.xml 添加“relaxedQueryChars”属性对我有用：

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="443" URIEncoding="UTF-8" relaxedQueryChars="[]|^&#x5c;&#x60;&quot;&lt;&gt;"/>

【讨论】：

如何在url中允许#？ RelaxQueryChars="^|[]_#" 并且我使用的是 tomcat 8.5.27

尝试：#所以也许是这样的：relaxQueryChars="[]|^\`"<>#"