Web容器自动对HTTP请求中参数进行URLDecode处理

最新推荐文章于 2025-07-01 14:12:20 发布
最新推荐文章于 2025-07-01 14:12:20 发布
阅读量2w 收藏 9
点赞数 5
CC 4.0 BY-SA版权
分类专栏: Java学习 文章标签: java tomcat 源码 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vickyway/article/details/46375971
本文探讨了在Java中HTTP请求参数如何被自动解码的过程。通过对JBOSS Web容器的源码分析,揭示了解码操作实际上是由Web容器底层组件完成的,并指出这并非J2EE标准行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如题,在Java中也许很多人都没有注意到当我们发送一个http请求给时,如果附带的参数被URLEncode之后,到达web容器之后,开发者获取到的参数值会自动变成了encode之前的值。这是一个很好的特点,开发者完全可以忽略http的参数是否需要decode这种事,但是decode到底是在什么发生的呢?

一时兴起就陷了进去,于是就开始一层层的找起了。

第一步就是从request.getParameter()方法下手,但是ServletRequest只是一个接口,是J2EE定义的Servlet框架的一个基本接口,具体实现还是得看具体的Servlet容器,即Web容器,我用的是JBOSS,所以就从JBOSS中源码着手。同时为了找出当我们调用request.getParameter()时具体是调用哪个ServletRequest对象的方法,使用了反射来查找,代码如下:

System.out.println(request.getClass().getName());
很简单,通过request的getClass获取对象的具体名称,得到的结果是:org.apache.catalina.connector.RequestFacade。可见是Web容器提供的具体ServletRequest实现类,既然找到了具体的类接下来肯定是去看下API文档,看看有没有提到会对request参数值进行decode操作,顺便说下org.apache.catalina.connector.RequestFacade时Tomcat的API,果然文档并未提到任何关于decode的内容,反倒看到RequestFacade仅仅是一个包装器,真正工作的竟然另有其人,好吧,只能找到代码了。

找到RequestFacade的源码,发现真正用于获取request参数的类是RequestFacade的一个受保护的变量request,当然这个类也是实现了ServletRequest接口的。继续查看Request源码,发现真正干活的类还不是它,Request内部还有一个变量org.apache.coyote.Request.coyoteRequest,继续找到org.apache.coyote.Request源码。找到org.apache.coyote.Request源码大致就已经可以看出到底是什么时候进行的decode操作了。在org.apache.coyote.Request的构造器中可以看见:

public Request()
  {
    this.parameters.setQuery(this.queryMB);
    this.parameters.setURLDecoder(this.urlDecoder);
    this.parameters.setHeaders(this.headers);

    this.methodMB.setString("GET");
    this.uriMB.setString("/");
    this.queryMB.setString("");
    this.protoMB.setString("HTTP/1.0");
  }
其中一句this.parameters.setURLDecoder(this.urlDecoder);指定了URLDecoder工具类,再来看看parameters可以看到该类就是用来解析http请求参数的类,该类会使用URLDecoder工具类对请求的name以及value进行decode操作,到这里基本就已经看到了HTTP请求中的参数到底是如何被自动decode的了。其中并没有去深究代码步骤,毕竟我们只要知道是什么进行的decode即可。

从上面的整个流程可以看出,对HTTP参数进行自动decode是Web容器依赖的,即并非J2EE标准,所以其他Web容器有可能并未做这种操作,所以开发者还是得注意。





【Python】高效的Web自动化测试利器—Python+Playwright快速上手自动化实战指南
墩墩分墩
08-16 6689
**Playwright是微软在` 2020 年初 `开源自动化测试工具,功能和 selenium 类似,都可以驱动浏览器进行各种自动化操作。** - 支持主流浏览器,如Chrome、Firefox、Safari 等,同时支持以**无头模式、有头模式**运行,并提供了**同步、异步的 API**,可以结合 `主流测试框架`使用,并且支持浏览器端的自动化脚本录制等功能。 **特点:** - 跨浏览器:Playwright 支持所有现代渲染引擎,包括Chromium、WebKit 和 Firefox; - 跨
SpringBoot里MVC自动配置原理
qq_45554909的博客
12-30 289
官网阅读 在进行项目编写前,我们还需要知道一个东西,就是SpringBoot对我们的SpringMVC还做了哪些配置, 包括如何扩展,如何定制。 只有把这些都搞清楚了,我们在之后使用才会更加得心应手。 途径一:源码分析, 途径二:官方文档! 地址 :https://docs.spring.io/spring-boot/docs/2.2.5.RELEASE/reference/htmlsingle/#boot-feature s-spring-mvc-auto-configuration Spring MVC
URL编码解码工具(URLEnCodeURLDeCode)
11-08
URL编码解码工具(URLEnCodeURLDeCode) 非常好用~ 下载使用
URLEncoder和URLDecoder(乱码处理
Veggie的博客
07-26 8508
在进行向服务器传递表单数据的实验的时候,发现得到的英文字符正常而中文字符都是乱码。在百思不得其解的时候,学习了一下URLEncoder和URLDecoder,以及顺藤摸瓜找到了产生乱码的原因和解决办法,在此记录一波。
JAVA)自建应用调用企业微信API接口,设置企业可信IP
TinpeaV的博客
07-01 1132
摘要:本文详细介绍了企业微信可信IP配置流程,重点说明如何设置接收消息服务器URL并进行验证。内容包括:1) 在企业微信管理后台配置URL、Token、EncodingAESKey三个参数;2) 验证URL有效性时需处理GET请求的签名验证和解密操作;3) 提供完整的Java加解密工具类(WXBizMsgCrypt)实现方案,包含6个核心类文件;4) 基于SpringBoot的Controller层实现示例,通过验证后可成功接入企业微信回调服务。文中还特别强调了参数配置注意事项和常见错误排查方法。
Java 技术篇 - ServerSocket接收http的url请求中包含中文的处理方法,URLDecode与URLEncode,url解码与编码
小蓝枣的博客
08-10 1059
通过解码方法: String url_new = java.net.URLDecoder.decode(url, "UTF-8"); 如果需要编码的话可以使用: String url_new = java.net.URLEncoder.encode(url, "UTF-8"); // 阻塞式连接,当接收请求前保持阻塞 Socket socket_client = server.accept();
前端urldecode 特殊字符处理导致后端无法解析
weixin_30832983的博客
02-24 1022
对于前后端交互过程中的提交请求,一般会使用token的方式来防刷。 但是后端生成的token传给前端,前端提交请求的数据一般会有urldecode处理。 这时候 如果token中包含 + 等特殊字符 数据将被改写。 解决方案: 1.生成token时 先base64 加密 然后替换特殊字符+ = / 2.解token时 先替换特殊字符+ = / 后base64解密...
关于接口请求参数Urlencode编码
真香号
02-11 1万+
httphttps 请求参数,为什么要urlEncode编码呢
POST请求参数未做URLEncoding,中文参数tomcat正常显示,jboss中乱码
JinYinSiShe的博客
12-27 725
POST请求参数未做URLEncoding,中文参数tomcat正常显示,jboss中乱码环境场景猜想验证猜想1 (不起作用)猜想2拓展总结参考资料 环境 http客户端:httpclient-4.5.6 应用容器:spring-boot-2.0.4.RELEASE 开发容器Tomcat8.5(内嵌) 测试容器:Jboss7.1 场景 使用http客户端向服务端发送携带中文参数的POST请求 ...
servlet url传递中文参数
03-01
Java Web开发中,Servlet是服务器端用于处理HTTP请求的核心组件。当我们需要通过URL传递参数时,经常会遇到中文参数的问题。这是因为URL本身是基于ASCII编码的,不支持直接传输非ASCII字符,如中文。本篇将详细...
java 页面url传值中文乱码的解决方法
09-05
请注意,虽然这种方法在大多数情况下都能正常工作,但为了防止其他编码问题,建议在整个项目中统一字符编码策略,比如在web.xml中配置`<filter>`来设置请求编码,或者在Servlet容器配置文件中全局设定字符编码,以...
Tomcat HttpServletRequest.getParameter自动URL解码分析
無規則的博客
08-09 678
在Request类的parseParameters方法中,首先将this.parametersParsed设置为true(因此parseParameters方法在处理一次请求时只会执行一次解析请求参数的操作),后续调用parameters.processParameters(byte[] bytes, int start, int len)方法,对应org.apache.tomcat.util.http.Parameters类。在urlDecode方法中,会进行URL解码。
使用URLEncode和URLDecode的作用和原因
QWQ___qwq的博客
04-06 2055
在上述代码中,我们首先从HTTP请求中获取用户提交的文本内容,然后使用URLEncoder对其进行编码,并将编码后的结果存储到一个名为"text"的Cookie中。在上述代码中,我们首先从HTTP请求中获取名为"text"的Cookie,然后使用URLDecoder对其编码后的值进行解码,并将解码后的结果显示在页面中。URL编码的作用是将一些特殊字符(如空格、&、=等)在传输过程中转换成特定的字符串,从而避免这些字符与HTTP协议或其他协议中的特殊字符产生冲突。这样接收方就可以正确解析查询参数了。
解决requests自动进行url解码的问题
mgxcool的专栏
12-30 5348
以前自己做测试的时候经常使用python requests,发送各种http请求非常方便。但是最近升级到python3使用requests之后,发现在我的请求发出去之前,requests会做一些解码/目录压缩之类的工作。 举几个例子: /test.php?a=%61%62%63%64 使用requests发出请求后,抓包会发现实际请求中的参数被解码,变成了如下内容: /test.php?a=abcd 另外一个例子: aa.com/abcd/../123/../test.php 最后发出去的
彻底搞懂乱码--请求响应URLEncode和URLDecode
zhouLucus的博客
11-30 2849
不管是从浏览器tomcat服务器, 还是从tomcat服务器到浏览器,非ASCII数据传输都是需要编解码操作的 下面的都是针对tomcat8版本之前 我们先需要了解一点的是: 下面的是针对请求http://localhost:8080/example/中国?name=中国 对于Chrome PathInfo是按照utf8编码, queryString是按照utf8编码 对于Firefox...
解码URLDecode和编码URLEnCode
weixin_30585437的博客
12-08 324
在前台往后台传递参数的时候,在前台进行编码,在后台接收参数的时候,用Decode进行解码; 如果url中包含特殊字符如:&、html标签 <tr><td>等导致url无法正确解析需要用对ur进行l编码和解码,防止了传输过程中的错误 Server.UrlDecode(); Server.UrlEncode();是两个成对的方法作用是在URL传参时如果直接传中文可能...
对接企业微信4:接收消息与事件
热门推荐
zhaofuqiangmycomm的博客
11-30 1万+
关于接收消息 为了能够让自建应用和企业微信进行双向通信,企业可以在应用的管理后台开启接收消息模式。 开启接收消息模式的企业,需要提供可用的接收消息服务器URL。 开启接收消息模式后,用户在应用里发送的消息会推送给企业后台。此外,还可配置地理位置上报等事件消息,当事件触发时企业微信会把相应的数据推送到企业的后台。 企业后台接收到消息后,可在回复该消息请求的响应包里带上新消息,企业微信会将该被动回复消息推送给用户。 开启接收消息 设置接收消息的参数 在企业的管理端后台,进入需要设置接收消息的目标应用,点
HTTP协议】
书生-w的博客
05-17 9792
HTTP协议全称为超文本传输协议,所谓超文本,就是指可以传输文本及其他格式的数据,如音乐,图片,视频等,是一种被广泛应用的应用层协议.我们平时打开的网站就是通过HTTP协议来传输数据的,HTTP协议是基于传输层TCP协议实现(HTTP1.0,HTTP1.1,HTTP2.0都是基于TCP,HTTP3.0基于UDP实现),我们此处所讨论的以HTTP1.1为主
linux+企业微信+api,概述 - 企业微信API
weixin_42524703的博客
05-28 801
[TOC]关于接收消息为了能够让自建应用和企业微信进行双向通信,企业可以在应用的管理后台开启接收消息模式。开启接收消息模式的企业,需要提供可用的接收消息服务器URL(建议使用https)。开启接收消息模式后,用户在应用里发送的消息会推送给企业后台。此外,还可配置地理位置上报等事件消息,当事件触发时企业微信会把相应的数据推送到企业的后台。企业后台接收到消息后,可在回复该消息请求的响应包里带上新消息,...
攻击请求URL带有/%24%7Bparam%7D的为什么能到容器
最新发布
07-11
<think>首先,用户的问题是关于URL请求的:为什么带有"/%24%7Bparam%7D"的URL请求能到达容器,并询问是否存在安全风险或配置问题。用户引用了几个URL编码的例子。 回顾系统指令: - 所有行内数学表达式用$...$格式。 - 独立公式用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 - 参考站内引用(用户提供了几个引用)。 用户提供的引用: - 引用[1]: 解释了URL编码,如%5B是'[', %5D是']', %7B是'{', %7D是'}', %22是'"', %3A是':', %2C是','。[^1] - 引用[2]: 用户遇到URL传参多了%7Bfid%7D字符,解决方案是删除{id}。[^2] - 引用[3]: 路由URL里多了%7D,可能是模板语法问题。[^3] - 引用[4]: 解决方案涉及配置修改。[^4] 用户的问题焦点:URL中包含"/%24%7Bparam%7D",其中%24是'$'的编码,%7B是'{'的编码,%7D是'}'的编码。所以这个URL解码后是"/${param}"。 用户想知道为什么这样的请求能到达容器,是否存在安全风险。 关键点: - URL编码:%24 = '$', %7B = '{', %7D = '}'。所以"/%24%7Bparam%7D" 解码为 "/${param}"。 - 在Web开发中,类似"${param}"的模式常用于模板引擎或表达式语言,如JSP、Thymeleaf等。 - 如果容器(如Tomcat、Spring容器)配置不当,这种URL可能被解释为表达式,导致安全风险,如表达式注入攻击。 安全风险: - 表达式注入:如果服务器端处理URL时,错误地将"${param}"解释为可执行代码,可能导致任意代码执行或信息泄露。 - 例如,在Spring框架中,如果使用不当,URL中的表达式可能被评估。 为什么能到达容器: - Web服务器(如Nginx、Apache)通常将请求转发给应用容器(如Tomcat)。 - 如果URL没有被服务器过滤或正确解析,它会直接到达容器。 - 容器根据配置处理URL。如果配置允许未过滤的输入,请求会被处理。 配置问题: - 可能服务器或容器没有对特殊字符进行过滤。 - 在引用中,用户提到了URL编码问题,表明输入可能被错误解析。 回答结构: 1. **解释URL编码**:先解码用户提到的URL,使用行内数学表达式或描述。 2. **分析原因**:为什么请求能到达容器?可能的原因包括服务器配置、容器处理逻辑。 3. **安全风险**:讨论潜在漏洞。 4. **解决方案**:建议如何防范。 5. **生成相关问题**:在末尾添加相关问题。 使用中文回答。 添加引用:在相关部分末尾添加引用标识,如[^1]。 数学表达式:用户提到的是URL,没有数学公式,但如果有概率或编码,可以用LaTeX。例如,URL编码可以用$...$表示,如%24代表$'$'。 生成相关问题:在结尾添加几个相关问题。 最终回答结构: - 引言:解释URL编码。 - 原因分析。 - 安全风险。 - 防范措施。 - 相关问题。</think>### 为什么包含特殊参数的URL请求能到达容器及安全风险分析 您的查询涉及URL请求中包含特殊编码序列(如"/%24%7Bparam%7D")为何能穿透Web服务器并到达应用容器(如Tomcat或Spring容器),以及相关的安全风险。我将逐步分析原因、潜在漏洞和配置问题,确保回答基于URL编码原理和常见Web安全实践。URL编码(Percent-Encoding)用于在HTTP传输中安全表示特殊字符,例如: - %24 解码为 `$`(美元符号)[^1]。 - %7B 解码为 `{`(左花括号)[^1]。 - %7D 解码为 `}`(右花括号)[^1]。 因此,您的示例URL "/%24%7Bparam%7D" 实际解码为 "/${param}"。这种模式常用于模板引擎(如Thymeleaf或JSP),但若配置不当,可能引发安全问题。以下分析参考了您提供的站内引用并结合Web开发最佳实践。 #### 1. **为什么请求能到达容器?** 请求能穿透Web服务器(如Nginx或Apache)并到达应用容器,主要由于以下原因: - **URL编码的透明处理**:Web服务器通常不会深度解析URL编码的字符,而是直接将请求转发给后端容器。例如,%24%7Bparam%7D 被视为普通字符串而非可执行代码,因此不会被拦截[^1]。引用[2]中提到,类似问题(如%7Bfid%7D)源于URL解析时的误处理,表明服务器可能未过滤特殊序列[^2]。 - **容器默认配置**:应用容器(如Tomcat)默认允许所有路径请求,除非显式配置过滤器。容器将解码后的URL(如"/${param}")视为静态资源路径或路由参数,而非潜在威胁。引用[3]中的路由问题(%7D多余字符)就源于模板语法错误,但容器处理请求[^3]。 - **路径匹配规则**:Web框架(如Spring MVC)的路由机制可能将"${param}"解释为变量表达式。如果框架配置了宽松的路径匹配(如使用`AntPathMatcher`),容器会尝试解析它而非拒绝[^4]。 根本原因在于**配置缺陷**:服务器或容器未启用输入验证过滤器,允许未经验证的编码字符通过。引用[4]中提到的配置修改(如调整路径处理)突显了此类问题[^4]。 #### 2. **是否存在安全风险或漏洞?** 是的,此类请求可能引入严重安全风险,主要涉及**表达式注入攻击**(Expression Language Injection)。风险等级取决于容器和框架配置: - **表达式注入漏洞**:如果应用使用模板引擎(如Spring Expression Language, SpEL),解码后的"${param}"可能被评估为可执行代码。例如: - 恶意URL如`/%24%7BT(java.lang.Runtime).getRuntime().exec('恶意命令')%7D` 可能导致远程代码执行(RCE)。 - 攻击者可窃取环境变量、数据库凭据或文件内容(风险评分:高,CVSS 9.0+)。 引用[1]中解释的URL编码特性(如%7B和%7D)可能被滥用绕过输入检查[^1]。 - **路径遍历或目录泄露**:特殊字符(如`$`或`{}`)可能干扰路径解析。例如,`/${../secret-file}` 可能被容器误解释为相对路径,导致敏感文件泄露(风险评分:中,CVSS 5.0+)。引用[2]中的额外参数问题(%7Bfid%7D)就暴露了路径处理缺陷[^2]。 - **拒绝服务(DoS)**:复杂表达式(如递归`${}`循环)可能消耗容器资源,导致服务崩溃(风险评分:低至中)。 **漏洞触发条件**: - 框架配置不当:例如,Spring Boot未设置`spring.el.ignore-unresolvable=false`,允许解析未定义表达式。 - 输入过滤缺失:服务器未使用WAF(Web应用防火墙)或过滤器(如Spring Security的`CharacterEncodingFilter`)。 - 编码解码不一致:如引用[3]中模板语法错误(%7D多余字符),导致容器误解析用户输入[^3]。 #### 3. **如何缓解风险?推荐配置和最佳实践** 通过优化配置和添加安全措施,可有效降低风险: - **启用输入验证**: - 在Web服务器(如Nginx)中添加规则过滤特殊编码: ```nginx location / { if ($request_uri ~* "%24%7B|%7D") { return 403; # 拒绝包含 ${ 或 } 的请求 } proxy_pass http://container:8080; } ``` - 在应用容器(如Tomcat)中配置`web.xml`过滤器: ```xml <filter> <filter-name>BlockExpressionFilter</filter-name> <filter-class>com.example.BlockExpressionFilter</filter-class> </filter> <filter-mapping> <filter-name>BlockExpressionFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` - **框架级防护**: - Spring应用:设置`spring.mvc.pathmatch.matching-strategy=ANT_PATH_MATCHER`并禁用SpEL评估(`spring.expression.parser.enabled=false`)。引用[4]中的配置调整(如修改路径处理)可借鉴[^4]。 - 使用安全库:集成OWASP ESAPI或Spring Security的`HttpFirewall`,自动拒绝含`${}`的请求。 - **编码规范化**: - 在代码中统一解码URL参数(如Java的`URLDecoder.decode()`),并对输入进行正则匹配(例如,拒绝任何包含`[${}]`的字符串)。 - **审计与监控**: - 定期扫描容器日志(如Tomcat的`localhost_access_log`),检测可疑请求(如高频出现`%24%7B`)。 - 使用工具(如Burp Suite)测试URL注入漏洞。 #### 总结 包含"/%24%7Bparam%7D"的URL请求能到达容器,主要是因为URL编码的透明性和默认配置的宽松性,但这也暴露了潜在表达式注入漏洞。通过强化输入过滤、更新框架配置和启用安全机制,可有效缓解风险。始终验证和规范化用户输入是防御关键[^1][^4]。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值