70

我正在使用 Tomcat 8。在一种情况下,我需要处理来自外部源的外部请求,其中请求有一个参数,它由|.

请求看起来像这样:

http://localhost:8080/app/handleResponse?msg=name|id|

在这种情况下,我收到以下错误。

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)

编辑 1

它适用于 Apache Tomcat 8.0.30,但不适用于 Tomcat 8.5

4

7 回答 7

77

所有主要的 Tomcat 版本都引入了这种行为:

  • 雄猫7.0.73、8.0.39、8.5.7 _ _ _ _

要修复,请执行以下操作之一:

  • 设置relaxedQueryChars为允许这个字符(推荐,见林肯的回答
  • 设置requestTargetAllow选项(在 Tomcat 8.5 中已弃用)(请参阅 Jérémie 的回答)。
  • 您可以降级到旧版本之一(不推荐 - 安全性)

根据changelog,这些更改可能会影响此行为:

雄猫 8.5.3:

确保 HTTP 方法名称不是令牌的请求(按照 RFC 7231 的要求)被拒绝并返回 400 响应

雄猫 8.5.7:

在 HTTP 请求行解析中添加对有效字符的额外检查,以便更快地拒绝无效的请求行。

最好的选择(遵循标准) - 你想在客户端对你的 URL 进行编码:

encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

或者只是查询字符串:

encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C

它将保护您免受其他有问题的字符(无效 URI 字符列表)的影响。

于 2016-12-14T19:18:26.453 回答
52

从 Tomcat 7.0.768.0.428.5.12开始,您可以定义属性requestTargetAllow以允许禁用字符。

将此行添加到您的catalina.properties 

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
于 2017-05-16T15:08:30.823 回答
17

问题:Tomcat (7.0.88) 抛出异常,导致 400 – 错误请求。

java.lang.IllegalArgumentException: Invalid character found in the request target. 
The valid characters are defined in RFC 7230 and RFC 3986.

从 7.0.88 开始,大多数 tomcat 版本都会出现此问题。

解决方案:(由 Apache 团队建议):

Tomcat 提高了它们的安全性,并且不再允许在查询字符串中使用原始方括号。在请求中,我们有 [,](方括号),因此服务器不处理请求。

relaxedQueryChars在 server.xml (%TOMCAT_HOME%/conf) 下的标签下添加属性:

<Connector port="80" 
           protocol="HTTP/1.1"
           maxThreads="150"
           connectionTimeout="20000"
           redirectPort="443"
           compression="on"
           compressionMinSize="2048"
           noCompressionUserAgents="gozilla, traviata"
           compressableMimeType="text/html,text/xml"
                                     relaxedQueryChars="[,]"
             />

如果应用程序需要更多默认情况下tomcat不支持的特殊字符,则在relaxedQueryChars属性中添加这些特殊字符,如上用逗号分隔。

于 2018-08-21T13:20:34.730 回答
16

该参数tomcat.util.http.parser.HttpParser.requestTargetAllow自 Tomcat 8.5 起已弃用:tomcat 官方文档

您可以relaxedQueryChars / relaxedPathChars在连接器定义中使用以允许这些字符:tomcat 官方文档

于 2018-07-06T14:33:48.110 回答
7

URI 被编码为 UTF-8,但 Tomcat 将它们解码为 ISO-8859-1。您需要编辑 server.xml 中的连接器设置并添加 URIEncoding="UTF-8" 属性。

或在您的 application.properties 上编辑此参数

server.tomcat.uri-encoding=utf-8

于 2017-09-05T10:51:08.430 回答
5

逃脱它。管道符号是随着时间的推移和浏览器之间的不同处理的符号。例如,Chrome 和 Firefox 在复制/粘贴时使用管道以不同的方式转换 URL。但是,似乎与 Tomcat 8.5 最兼容且最必要的是转义它:

http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

于 2016-12-10T10:33:33.577 回答
2

向 server.xml 添加“relaxedQueryChars”属性对我有用:

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="443" URIEncoding="UTF-8" relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;"/>
于 2020-09-23T14:08:57.363 回答