tomcat容器下 http 请求参数中特殊字符(+、&、%)的问题

最新推荐文章于 2024-06-13 10:25:11 发布
最新推荐文章于 2024-06-13 10:25:11 发布
阅读量7.5k 收藏 4
点赞数 1
分类专栏: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/voteless_cz/article/details/76832854
版权

一、现象

 大家在java web 开发过程中,应该遇到过请求参数中有特殊字符导致后台获取参数时异常的情况。

     参数中有 + : 比如参数是 voteless+cz ,在后台用 request.getParameter(); 获取时,发现变成了 voteless cz。就是 + 变成了 空格;

     参数中有& : 比如参数是  voteless&cz,在后台用 request.getParameter(); 获取时,发现变成了 voteless。就是 &和之后的参数会丢失。

     参数中有%: 比如参数是  voteless%cz,在后台用 request.getParameter(); 获取时,发现变成了 voteless�。%和后面的两个字符会变成乱码

     参数中有%: 比如参数是  voteless%c,在后台用 request.getParameter(); 获取时,发现是null。获取不到

 

二、原因

      原因是tomcat容器会丢对请求的参数(QueryString)进行类似 URLDecoder.decode的操作(GET和POST的请求都会,POST是 application/x-www-form-urlencoded )。

      1、&问题

         大家都知道&的目的是分隔 key=value。而value中有& 的话,其实很自然可以想到value中 & 后面的字符串会丢失,大家看如下的源码片段就明白了。

      org.apache.tomcat.util.http.Parameters 的 processParameters(byte bytes[], int start, int len, Charset charset) 方法

 

while(pos < end) {
    int nameStart = pos;
    int nameEnd = -1;
    int valueStart = -1;
    int valueEnd = -1;

    boolean parsingName = true;
    boolean decodeName = false;
    boolean decodeValue = false;
    boolean parameterComplete = false;

    do {
        switch(bytes[pos]) {
            case '=':
                if (parsingName) {
                    // Name finished. Value starts from next character
                    nameEnd = pos;
                    parsingName = false;
                    valueStart = ++pos;
                } else {
                    // Equals character in value
                    pos++;
                }
                break;
            case '&':
                if (parsingName) { // 重点在这个地方,value中&后面的字符串会当做是没有value的key
                    // Name finished. No value.
                    nameEnd = pos;
                } else { 
                    // Value finished
                    valueEnd  = pos;
                }
                parameterComplete = true;
                pos++;
                break;
            case '%':
            case '+':
                // Decoding required
                if (parsingName) {
                    decodeName = true;
                } else {
                    decodeValue = true;
                }
                pos ++;
                break;
            default:
                pos ++;
                break;
        }
    } while (!parameterComplete && pos < end);

    if (pos == end) {
        if (nameEnd == -1) {
            nameEnd = pos;
        } else if (valueStart > -1 && valueEnd == -1){
            valueEnd = pos;
        }
    }

 

 

 

      2、+和 % 问题

 

         上面提到tomcat会对参数进行解码,解码部分的源码如下  org.apache.tomcat.util.buf.UDecoder 的 String convert(String str, boolean query)

while (strPos < strLen) {
            int laPos;        // lookahead position

            // look ahead to next URLencoded metacharacter, if any
            for (laPos = strPos; laPos < strLen; laPos++) {
                char laChar = str.charAt(laPos);
                if ((laChar == '+' && query) || (laChar == '%')) {
                    break;
                }
            }

            // if there were non-metacharacters, copy them all as a block
            if (laPos > strPos) {
                dec.append(str.substring(strPos,laPos));
                strPos = laPos;
            }

            // shortcut out of here if we're at the end of the string
            if (strPos >= strLen) {
                break;
            }

            // process next metacharacter
            char metaChar = str.charAt(strPos);
            if (metaChar == '+') {
                dec.append(' ');
                strPos++;
                continue;
            } else if (metaChar == '%') {
                // We throw the original exception - the super will deal with
                // it
                //                try {
                char res = (char) Integer.parseInt(
                        str.substring(strPos + 1, strPos + 3), 16);
                if (noSlash && (res == '/')) {
                    throw new IllegalArgumentException("noSlash");
                }
                dec.append(res);
                strPos += 3;
            }
        }

 

 

 

      如上代码可以很明显看到 + 为什么变成了 空格;%部分可以看到代码截取%后的两位字符,然后放到StringBuilder,自如如上面例子中 voteless%cz,会将cz 以16进制转为 char ,得到的是怪怪的字符;如果是 voteless%c ,%后面只有一位,就会导致异常,使得获取不到value值(null)。

 

  

 

Voteless_Cz
关注
专栏目录
修改springBoot内置Tomcat参数可以支持特殊字符
weixin_43858882的博客
08-28 935
/** * @version v1.0 * @ProjectName: xxxx * @ClassName: TomcatConfig * @Description: tomcat请求参数特殊字符处理问题 * @Author: xxxx * @Date: 2020/8/27 17:15 */ @Configuration public class TomcatConfig { @Bean public ConfigurableServletWebServerFactory we
SpringBoot问题笔记:http请求参数含有特殊符号[]
qq_42323598的博客
07-01 2468
http请求参数含有特殊符号[]{} 请求报错,调试控制器函数没有触发。 怀疑是请求参数含有字符 [ ] 由博客了解到是由于Tomcat的新版本增加了一个新特性,严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。 解决方法:修改tomcat配置 @Spring
tomcat路径特殊字符处理
最新发布
2401_85480529的博客
06-13 386
类的方法负责解析并解码请求的路径。方法负责规范化解码后的路径。URL解码的实际操作通常使用工具类如进行。这些方法共同协作,确保Tomcat能够正确处理和解析请求路径特殊字符
Tomcat高版本特殊字符问题 :java.lang.IllegalArgumentException: Invalid character found in the request target
热门推荐
你是不是傻的java大坑
01-03 4万+
post请求请求带有JSON格式的参数。在tomcat8.5.3、tomcat9请求会被拦截,在tomcat7.0.84就不会。 JSON: { "aaa": [758, 2392], "bbb": [755], "ccc": [760] } 报错: 原因: 查了资料,大部分都说是新的标准请求不支持“{}”,但是把大括号转义之后还是出现同...
tomcat 拦截特殊字符解决办法
csl12919的博客
07-04 933
tomcat 拦截特殊字符解决办法
Tomcat URL 有特殊字符问题
beta_xiyan的博客
01-29 5756
Tomcat 早起版本是支持特殊字符的,不过后来版本认为这些字符是不安全的(unsafe),所以不能直接在URL 对这些字符直接传入,需要编码来表示,有人提出异议后Tomcat给开发人员留了个后门 ,可以自行配置: 修改conf文件夹下的catelina.properties文件:tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}...
Tomcat 服务器对请求一些特殊的符号需作处理
menghuannvxia的专栏
06-28 417
服务器对请求一些特殊的符号需作处理
解决tomcat问题
09-30
在Java Web开发,Apache Tomcat是一个广泛使用的开源Servlet容器,用于部署Java应用程序。然而,在使用Tomcat处理包含文字符的Web请求时,经常会遇到字符编码问题。这是因为Tomcat的默认字符集可能不支持文...
Struts2在Tomcat容器的加载过程
04-18
通过上述步骤,我们可以看到Struts2在Tomcat容器是如何工作的。了解这一过程有助于我们优化性能、调试问题以及扩展应用功能。在实际开发,我们还可以通过自定义拦截器、Action和Result来实现特定需求,以提高...
Tomcat容器管理安全的验证方式汇总
01-10
当访问服务器受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,它们是: 1、BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令 2、DIGEST(摘要...
在内置tomcat容器下,post提交base64编码文件,接口出现参数丢失的问题
zs296332478的博客
10-20 3659
由于项目需要,对接了一个三方ocr识别的sdk文件,我们的处理方式是把三方的sdk,api接口之类的服务用单独的项目进行封装,然后自己内部业务再调用封装好的服务。当时客户有个新的需求,需要使用我们的ocr识别接口,于是专门为客户进行定制,考虑到对于文件上传,最简单的就是用base64编码的方式,于是在接口处使用了String格式的字符串来进行图片数据的接收,测试一切正常。于是开始和客户对接,客户反
java utf 8转义_Tomcat8及以上特殊字符转义问题
weixin_39866874的博客
02-26 492
之前与前端同事,调试一个接口,一直会报一个异常java.lang.IllegalArgumentException: Invalidcharacterfoundintherequesttarget有点小崩溃,当时只是归结为是不是请求报文和接受格式不一致,后来上网查了查,发现方向错了。该异常的原因在于,后端项目是用内置tomcat启动的,版本为tomcat9,但是tomcat版本大于8....
tomcat对url请求特殊字符处理 分析
qq_41891666的博客
11-30 3664
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器用 …;/来进
tomcat 拦截特殊字符解决办法||||tomcat拦截特殊字符报400,如 “|“ “{“ “}“ “,“等符号的解决方案
qq_43476358的博客
10-13 3006
错误概述及截图和400错误解析 传参数的时候又没有对“|”进行url编码这个时候他们用这个url访问我们会导致服务器一致报400的错误 VM2418 nkworkflowx.runtime.js:836 GET http://localhost:8080/nkbdc/workflowx/WFNAV?action=runtime.WorklistFrame&AppID=10150&state=2&_TCODE|is=2021101300001 400 (Bad Request) wf
Tomcat请求特殊字符参数问题:Invalid character found in the request target. The valid characters are defined in
牧小农
10-24 4685
一、问题错误 最近遇到客户端说接口get请求,全部400错误,无法请求,刚开始以为是服务器对请求进行拦截了,但是访问主页面是正常的,也是get请求,那么可能就是tomcat问题了,想到tomcat8的原因,会不会是请求参数问题,后来url请求包含{}[]特殊字符的都报错,是因为Tomcat在 7.0.73, 8.0.39, 8.5.7版本后,在http解析时做了严格限制。 tomcat8正常...
获取http请求参数含有特殊符号“&”的完整参数
qq_41988806的博客
12-08 1341
在一次对接扫码门禁设备的过程,扫码设备扫描到的二维码信息会通过http请求发送到我提供的接口进行校验并返回校验结果(成功/失败),需求的二维码内容是一串链接地址,其包含“&”的情况导致直接取值不完整,用了很多方法最终通过反射才解决这个问题。 接口入参示例: paramaters={ "CodeVal":"https://test?code=testcode&reg_code=123456", "CodeType":"Q", "BrushTime":"2...
tomcat 处理url特殊字符
weixin_42891455的博客
03-14 1413
tomcat添加了对header请求头的验证,因请求路径带有[]{}等字符,所以无法通过校验。如果是springboot项目则将webServerFactory方法加入到springboot启动类。在Connector节点下添加属性 URIEncoding="UTF-8"即可。3、更换低版本的Tomcat来规避这种问题。ps :如何解决tomcat乱码问题。该配置只对以上三种特定字符有效。tomcat版本:7.0.93。1、去除URL特殊字符;经测试之后,该问题解决!
使用Tomcat传url地址包含大括号{}的特殊字符无法识别问题多种解决方法
望远烬的博客
06-11 4120
零、简单粗暴,更换Tomcat版本为能识别的版本 该点参考自博主Carino_U文章https://blog.csdn.net/Carino_U/article/details/78973120 根据rfc规范,url不允许有 |,{,}等特殊字符,但在实际生产还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到8以后,对url字符的检查都变严格了,如果出现这类字符,tomcat将直接返回400状态码。 后来有人对此提出了异义,见:https://...
Tomcat url特殊字符无法使用解决办法
weixin_40381547的博客
12-01 2299
Tomcat url特殊字符无法使用解决办法 url不允许使用|,{,}等特殊的字符,若出现这些字符Tomcat将会直接返回400状态码。 1.因此需要更换一下版本的Tomcat 版本 地址 8.5.x至8.5.12 https://archive.apache.org/dist/tomcat/tomcat-8/ 8.0.x至8.0.42 https://archive.ap...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值