前几天遇到个 case :别人在组装我们的 url 的时候对一些自定义参数没有进行 urlencode 导致打开的时候页面直接 400。比如:http://example.com?a{b=1 正常应该是 http://example.com?a%7Bb=1
后端 tomcat 会报错:
Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
访问这个地址 400 其实也符合预期。
400 Bad Request:
这是最常用的状态码来表示请求中有语法错误,不能被服务器理解。如果请求的URL格式不正确或包含非法字符,返回 400 状态码是适当的。客户端发送了一个包含非法字符的请求,服务器无法处理这个请求,应该返回 400 Bad Request。
第一时间是想谁拼接的参数啊,这么坑爹,害得我老板找我茬。我顺手打开了百度等网站,发现他们都对参数做了兼容,看来老板的要求也非无理要求,作为后端兜底,还是得研究下如何处理了。
后端是springboot内嵌的tomcat,url 非法的拦截是发生在tomcat,貌似 tomcat 可以对非法字符进行加白处理。在Spring Boot 2中,可以通过application.properties来设置relaxedQueryChars属性,从而允许在查询参数中使用特殊字符。(application.yml同理)
server.tomcat.relaxed-query-chars=[]{
},^@
ai 提示:当你放宽Tomcat对特殊字符的限制时,请确保你的应用程序能够安全地处理这些字符。务必仔细考虑SQL注入、跨站脚本(XSS)等潜在的安全风险,并采取相应的防护措施。
如果可能的话,最好还是避免在URL中使用这些特殊字符,特别是在可以通过其他方式(例如,通过HTTP头或请求体)传递同样信息的情况下。
所以想要不还是在 nginx 这层做个重定向吧,以实现 http://example.com?a@b=1 -> http://example.com?ab=1 的跳转。这样就还是得依赖 openresty 的 lua 模块来实现。
rewrite_by_lua_block 在 Nginx 的 rewrite 阶段执行,这是处理请求并决定请求如何响应的早期阶段。它常用于修改请求URI、查询字符串、请求头部或者做内部跳转。可以在这个阶段使用 ngx.redirect 来进行外部重定向。所以尝试这样去做 nginx 反向代理 springboot
location / {
rewrite_by_lua_block {
local query_string = ngx.var.query_string
if query_string then
local new_query_string = ngx.re.gsub(query_string, "[\\[\\]|{}^`@]", "", "ijo")
if new_query_string ~= query_string then
ngx.log(ngx.WARN, "query_replace:" .. query_string .. " -> " .. new_query_string)
local new_uri = "https://" .. ngx.var.host .. ngx.var.uri .. "?" .. new_query_string
ngx.redirect(new_uri, ngx.HTTP_MOVED_PERMANENTLY)
end
end
}
proxy_pass http://127.0.0.1:7001;
}
如果确定命中了需要跳转的情况,则打印一行warn日志,用于我上线之后的抽查,检查有错误。选择第二个方案呢,就是想避免一些没想到的安全漏洞,而直接是直接重定向。
2024/04/19 13:41:01 [warn] 4493#4493: *4828077 [lua] rewrite_by_lua(nginx-proxy.conf:127):6: query_replace:pageNum=2] -> pageNum=2, client: 11.22.57.33, server: example.com, request: "GET /tag/100274?pageNum=2] HTTP/1.1", host: "example.com"
