Tomcat 8无法处理查询参数中带有“|”的get请求?
我正在使用Tomcat 8。在一种情况下,我需要处理来自外部源的外部请求,其中请求有一个参数,由|分隔。
请求如下所示:
http://localhost:8080/app/handleResponse?msg=name|id |
在这种情况下,我得到以下错误。
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
编辑1
它适用于ApacheTomcat 8.0.30,但不适用于Tomcat 8.5
共有3个答案
问题:Tomcat(7.0.88)抛出低于异常,导致400-坏请求。
java.lang.IllegalArgumentException: Invalid character found in the request target.
The valid characters are defined in RFC 7230 and RFC 3986.
这个问题在7.0.88以后的大多数tomcat版本中都会出现。
解决方案:(Apache团队建议):
Tomcat提高了它们的安全性,不再允许在查询字符串中使用原始方括号。在请求中,我们有[,](方括号),因此服务器不会处理该请求。
在服务器下的标签下添加relaxedQueryChars属性。xml(%TOMCAT_HOME%/conf):
<Connector port="80"
protocol="HTTP/1.1"
maxThreads="150"
connectionTimeout="20000"
redirectPort="443"
compression="on"
compressionMinSize="2048"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"
relaxedQueryChars="[,]"
/>
如果应用程序需要更多tomcat默认不支持的特殊字符,那么在relaxedQueryChars属性中添加这些特殊字符,逗号分隔如上所述。
由于Tomcat 7.0.76、8.0.42、8.5.12,您可以定义属性requestTargetAllow来允许禁止字符。
将此行添加到您的catalina.properties
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
在所有主要的Tomcat版本中都引入了这种行为:
- Tomcat 7.0.73、8.0.39、8.5.7
要修复此问题,请执行以下操作之一:
- 设置
relaxedQueryChars以允许使用此字符(推荐,请参见Lincoln的答案) - 设置
requestTargetAllow选项(在Tomcat 8.5中已弃用)(参见Jérémie的答案) - 您可以降级到旧版本之一(不推荐使用-安全性)
根据changelog,这些更改可能会影响此行为:
Tomcat 8.5.3:
确保使用不是令牌的HTTP方法名称的请求(如RFC 7231所要求的)被400响应拒绝
Tomcat 8.5.7:
在HTTP请求行解析中添加有效字符的其他检查,以便更快地拒绝无效的请求行。
最好的选择(遵循标准)-您希望在客户端对URL进行编码:
encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C
或者只是查询字符串:
encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C
它将保护您免受其他有问题的字符(无效URI字符列表)的影响。
-
问题内容: 在swift 3中建议使用带参数的GET的哪种方法? 范例: 提前致谢 ! 问题答案: 示例如何使用请求。
-
问题内容: 我是新手,所以我的代码可能会出现很多错误,但是我要实现的目标是将GET请求发送到带有 参数的服务器。鉴于我的函数有两个参数,我试图做到更多。我不确定如何将两者结合到实际的URLRequest中?到目前为止,这是我尝试过的 问题答案: 建立请求时,请求的主体没有,但是所有内容都放在URL上。要构建网址(并正确地将其转义), 您还可以使用. 唯一的窍门是,大多数Web服务都需要+转义字符百
-
在SQL中,使用字符串连接进行参数化查询非常简单。例如,我根据预设的参数(带有列名的字符串)从DB表中获取必要的列 我如何用这个做同样的事情(你也可以做你自己的例子)查询DSL请求: 在此查询中,我得到了整个表。
-
问题内容: 我有一个HTTP客户端(目前)的Node.js应用程序。所以我在做: 这似乎是完成此任务的一种好方法。但是,我有些沮丧,我必须执行此步骤。这应该由一个公共库封装,但是我还没有看到它存在于node的库中,而且我不确定哪个标准的npm包可以完成它。有没有一种合理使用的更好的方法? url.format方法节省了构建自己的URL的工作。但理想情况下,请求的级别也应高于此级别。 问题答案: 检
-
当我尝试使用以下URL调用endpoint时: 将引发此异常: 只使用ZonedDateTime对象解析给定的日期是可行的(在Ideone.com上),但是其他的可能是错误的。我在SO上发现了这个问题:使用Spring@RestController处理带有ZonedDateTime参数的HTTP GET 明显的区别是在RequestParam中添加了。现在我在想;我如何让它与QueryDSLPre
-
问题内容: 我们可以创建相同的GET URI,但使用不同的查询参数吗? 例如,我有两个REST GET URI: 现在,REST服务无法将两个GET方法识别为单独的,而仅将其声明为第一个GET方法。 为什么会这样呢? 有什么办法可以使两个具有不同查询参数的GET方法? 如果您可以引用任何资源,将不胜感激。 问题答案: 因为 资源 是由其 PATH 唯一标识的,而不是由其参数唯一标识的。您定义的两个