【linux】tomcat新版本特性引发的url问题

简介: Tomcat7.0.73添加了RFC 3986规范

通过我们的测试,在tomcat7.0.73版本以上都会出现下列描述的问题。

1、测试报错:

Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

        at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:192)

        at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1028)

        at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637)

        at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:316)

        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

        at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)

        at java.lang.Thread.run(Thread.java:745)


2、通过抓包看出,当get请求为:

http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}

会出现这种报错,因为升级tomcat后有一些字符(例如“{,}“),当他们直接放在Url中的时候,可能会引起解析程序的歧义

Tomcat8.5,当Get请求中包含了未经编码的非法字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了。

经过测试,paphone控件和老版本的APP SDK请求时都会报此错


Tomcat报错:

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

会返回400错误。


3、经查询,Tomcat7.0.73就已经添加了RFC 3986这个规范。

RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(! * ’ ( ) ; : @ & = + $ , / ? # [ ])。

还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。

?空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。

?引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用

?#:通常用于表示书签或者锚点

?%:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码

?{}|\^[]`~:某一些网关或者传输代理会篡改这些字符


4、对于此问题,有以下几种解决方案。

1)切换版本到低版本。(不可用)

2)修改Tomcat源码。(不可用)

3)前端请求对URL编码。

4)修改Get方法为Post方法。

5)因{ }是不安全字符,默认被 tomcat拦截。如果需要在URL中传输json数据,在catalina.properties中添加支持。


5、以下是尝试结果:

1)尝试上报服务请求修改catalina.properties文件配置

添加tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

测试结果:

IE浏览器还是有相同报错,如果请求里面只含有 { 、}不再报错,但是“仍然无法被识别,因此json无法被识别

改为tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}”

会显示 “是不允许的字符“

Google浏览器不会报错


2)使用HttpGet模拟发送get形式的json请求

测试结果:并没有到tomcat层面,控制台直接报错:

Illegal character in query at index 61: http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}

使用这种方式只要包含{、}、”都不允许发送请求(根本没到tomcat层面)


3)使用HttpPost模拟发送post形式的json请求

测试结果:无报错


4)尝试在使用HttpGet模拟发送get形式的json请求的时候将请求转义,例如:

buf.append("req="+URLEncoder.encode(json, "utf-8"));

测试结果:无报错


5)尝试在服务接收的doGet方法里面转义

测试结果:无效果,请求未到应用程序在Tomcat层就被拦截了。


目录
相关文章
|
1月前
|
安全 Linux 虚拟化
|
4月前
|
Ubuntu Linux
查看Linux系统架构的命令,查看linux系统是哪种架构:AMD、ARM、x86、x86_64、pcc 或 查看Ubuntu的版本号
查看Linux系统架构的命令,查看linux系统是哪种架构:AMD、ARM、x86、x86_64、pcc 或 查看Ubuntu的版本号
949 3
|
4月前
|
存储 编解码 Ubuntu
在Linux中,如何选择操作系统版本?
在Linux中,如何选择操作系统版本?
|
4月前
|
Java 应用服务中间件 Windows
【应用服务 App Service】App Service 中部署Java项目,查看Tomcat配置及上传自定义版本
【应用服务 App Service】App Service 中部署Java项目,查看Tomcat配置及上传自定义版本
|
2月前
|
Kubernetes Linux 测试技术
|
3月前
|
安全 Java 应用服务中间件
Windows版本的Tomcat无法启动,如何处理?
Windows版本的Tomcat无法启动,如何处理?
223 14
|
3月前
|
Linux 编译器 开发工具
快速在linux上配置python3.x的环境以及可能报错的解决方案(python其它版本可同样方式安装)
这篇文章介绍了在Linux系统上配置Python 3.x环境的步骤,包括安装系统依赖、下载和解压Python源码、编译安装、修改环境变量,以及常见安装错误的解决方案。
253 1
|
4月前
|
Linux 开发工具
Linux查看已经安装软件的版本,安装软件的路径,以及dpkg、aptitude、apt-get、apt工具的使用
Linux查看已经安装软件的版本,安装软件的路径,以及dpkg、aptitude、apt-get、apt工具的使用
169 2
Linux查看已经安装软件的版本,安装软件的路径,以及dpkg、aptitude、apt-get、apt工具的使用
|
2月前
|
Java Linux Maven
用sdkman在linux上管理多个java版本
本文介绍了如何在Linux上使用SDKMAN来管理多个Java版本,包括安装SDKMAN、验证安装、列出和安装不同版本的JDK、Maven和Gradle,以及如何切换使用不同版本。
68 0
|
3月前
|
安全 Linux API
关于Linux稳定版本的一切你想知道的内容 【ChatGPT】
关于Linux稳定版本的一切你想知道的内容 【ChatGPT】