5

我应该如何在 AWS 上配置我的 ElasticBeanstalk 以允许 URL 中的编码斜杠?(使用 -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true)

我在我的源包( http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/customize-containers.html)的顶级目录中创建了一个名为 .ebextensions 的目录,其中包含一个文件 tomcat.config内容:

commands:
  allow-encoded-slash:
    command: export CATALINA_OPTS="$CATALINA_OPTS -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true"
    cwd: /home/ec2-user

但它似乎没有效果,它没有出现在这些目录中:

ls -la /tmp/deployment/application/ROOT/
ls -la /var/lib/tomcat7/webapps/ROOT/
4

3 回答 3

1

我们还尝试通过 Elastic Beanstalk 控制台中的编辑配置对话框设置 ALLOW_ENCODED_SLASH 系统属性。但是,尽管该属性似乎存在,但 Tomcat 仍然不允许我们使用编码斜杠 (%2F)。

我们认为 ALLOW_ENCODED_SLASH 系统属性设置正确,因为:

1) 我们在启动 Tomcat 的 java 命令中看到该属性:

/usr/lib/jvm/jre/bin/java -DAWS_ACCESS_KEY_ID= -DAWS_SECRET_KEY= -DJDBC_CONNECTION_STRING= -DPARAM1= -DPARAM2= -DPARAM3= -DPARAM4= -DPARAM5= -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true -Dhazelcast.native.client=true -Dcom.sun.management.jmxremote -Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=8765 -XX:MaxPermSize=256m -Xmx1024m -Xms256m -classpath :/usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar:/usr/share/java/commons-daemon.jar -Dcatalina.base=/usr/share/tomcat7 -Dcatalina.home=/usr/share/tomcat7 -Djava.awt.headless=true -Djava.endorsed.dirs= -Djava.io.tmpdir=/var/cache/tomcat7/temp -Djava.util.logging.config.file=/usr/share/tomcat7/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager org.apache.catalina.startup.Bootstrap start

2)而且因为我们在从我们的网络应用程序执行时也得到了“真”:

System.getProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH")

有谁知道为什么 Tomcat 仍然拒绝编码斜杠?

例如,此 URL 应返回一个 JSON 表示“找不到应用程序:A/1”:

http://our-site/campaigns/application/A%2F1/udid/U1

但是,相反,它说:

在此服务器上找不到请求的 URL /v1/campaigns/application/A/1/udid/U1。

这很奇怪,因为我们已经在本地 Tomcat 中尝试了 ALLOW_ENCODED_SLASH 系统属性并且它工作正常。

最近我们尝试了另一个属性。这个适用于我的本地 Tomcat 和 AWS:

org.apache.catalina.connector.CoyoteAdapter.ALLOW_BACKSLASH

我完全困惑... :-/

于 2013-06-25T14:37:17.100 回答
1

ElasticBeanstalk 在 Tomcat 前面有一个 apache(我猜是负载均衡器),所以这是第一个收到请求的,并且必须指出斜杠不能被解码。

为了得到这个,我们使用了这个虚拟主机:

<VirtualHost *:80>
  <Proxy *>
    Order deny,allow
    Allow from all
  </Proxy>

  ProxyPass / http://localhost:8080/ retry=0
  ProxyPassReverse / http://localhost:8080/
  ProxyPreserveHost on
  AllowEncodedSlashes NoDecode
  LogFormat "%h (%{X-Forwarded-For}i) %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
  ErrorLog /var/log/httpd/elasticbeanstalk-error_log
  TransferLog /var/log/httpd/elasticbeanstalk-access_log
</VirtualHost>

此 URL 有助于配置 EBS 和他的 apache http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/customize-containers.html

于 2013-06-28T22:36:11.237 回答
0

请注意,如果您在 tomcat 前面有一个 apache httpd,则两者都需要配置为允许斜杠

对于 tomcat,属性是 -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true (最好放在 tomcat conf 文件中的 CATALINA_OPTS 中)

对于 apache,指令 AllowEncodedSlashes 需要设置为 NoDecode 此外,ProxyPass 指令需要设置为 nocanon 否则 tomcat 将收到编码斜杠作为 %252F 而不是 %2F

所以正确的 apache 配置如下所示:

<VirtualHost *:80>
  ProxyPass / http://localhost:8080/ nocanon
  ProxyPassReverse / http://localhost:8080/ nocanon
  ProxyPreserveHost on
  AllowEncodedSlashes NoDecode
</VirtualHost>
于 2013-10-02T09:06:31.030 回答