URL含有转义字符/%2F(/)等报400 Bad Request

最新推荐文章于 2024-03-13 10:33:49 发布
最新推荐文章于 2024-03-13 10:33:49 发布
阅读量3.7k 收藏 5
点赞数
分类专栏: Web开发遇到的问题 文章标签: tomcat spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Numb_ZL/article/details/120749260
版权

Tomcat默认拦截带转义字符的URL,报400

Tomcat拦截

最近在开发中发现一个问题,url指定的是后端的一个文件访问目录,格式如下:
/spring_ws/files/users/test
利用@RequestMapping的多层通配符**匹配:

@RequestMapping("/spring_ws/files/**")
public void listFiles() {
	String url = request.getRequestURI();
	// 截取url中files之后的部分作为文件路径访问
	String filePath = url.substring(url.indexOf("files") + "files".length());
	// 解析URL中含有的转义字符等
	filePath = URLDecoder.decoder(filePath, "UTF-8");
	/* do something */
}

上述配置初衷是匹配/spring_ws/files/下的所有请求,然后将 /spring_ws/files/ 后面的url作为访问文件目录。正常访问的URL:/spring_ws/files/users/test 没有问题,但是当把URL中文件路径部分的反斜杠(/)用转义字符%2F代替时(/spring_ws/files/users%2Ftest ),发现竟然报了HTTP 400 Bad Request

按照代码逻辑,转义之后的users%2Ftest 会当做一个整体,/spring_ws/files/**会匹配多层目录,自然就会匹配spring_ws/files/users%2Ftest,但是报错400就很不理解,怀疑可能是Spring内部拦截或者tomcta拦截了。

通过查找相关资料发现,Tomcat的新版本中增加了一个新特性,就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。

URL常见特殊字符转义

字符URL编码值
空格%20
"%22
#%23
%%25
&%26
(%28
)%29
+%2B
,%2C
/%2F
:%3A
;%3B
<%3C
=%3D
>%3E
%3F
@%40
\%5C
|%7C

允许带%URL

可以通过配置tomcat允许带%URL,常见的方法有:

  • 在tomcat文件目录下的conf/catalina.properties配置文件中配置
    org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
  • 在tomcat的启动参数中加入
    -Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true

Spring Security抛出RequestRejectedException

如果后端引入了Spring Security,则URL中含有特殊字符会报RequestRejectedException,这时候访问会报HTTP 500的错误。
参考资料:
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)

冷雨夜中漫步
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
两种方法解决javascript url post 特殊字符转义 + & #
10-22
本文主要介绍javascript使用url传值的时候数据丢失的问题,希望对大家有所帮助。
URL中%2F,%2B等特殊字符
一个生活在临武县城的Python语言工程师
06-22 1368
有些符号在URL中是不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。 编码的格式为
URL中传递特殊符号并转义
最新发布
LANWEIHAO的博客
03-13 481
为了在URL中传递这些特殊字符,需要对它们进行编码,也就是将它们转换为特定的格式。这通常通过百分号编码(Percent Encoding)实现,即使用。实际上,URL编码规则适用于任何不在未保留字符集中的字符。未保留字符集包括字母(A-Z和a-z)、数字(0-9)、当你需要在URL中传递包含特殊字符的字符串时,可以使用编程语言中的URL编码函数来进行编码。例如,在JavaScript中,可以使用。这些字符在URL中可以直接使用,无需编码。其他所有字符都需要编码。在URL中,某些字符具有特殊含义,如斜杠(
URL传参带特殊字符
人生没有捷径
05-10 3904
URL传参带特殊字符特殊字符丢失,比如传参的
关于 URL包含%2F(/)或者%5C(\)无法访问到服务器的解决办法
We practice improving every day
05-13 2447
默认情况下Jboss和Tomcat等服务器是拒绝url中带%2F或者%5C的URL,因为它们经浏览器解析之后就变成了/和\,服务器默认是拒绝访问的,所以需要通过服务的配置来解决这个问题:   tomcat的解决方法如下:   找到%TOMCAT_HOME%/conf/catalina.properties文件:   添加: #这个是解决URL包含%2F的问题 org.apach...
tomcat6url请求400错误(%2F与%5C)
bbirdsky
10-14 1万+
最近几天,开发接口时,tomcat400错误,原因就是url中参数部分包含/,默认tomcat是不支持url参数包含: /(%2F),\(%5C)。 可能通过在配置文件(catalina.properties)或是启动参数(-Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true)加入 Dorg.apache.tomcat
记录:URL特殊字符没有转义导致“400 Bad Request
qq_24601279的博客
02-07 2223
如图,在用postman测试接口过程中,平时好好的接口,结果“400 Bad Request错。百思不得其解,在开发人员的启发下,自己查了相关资料,找到了原因:==有些符号在URL中是不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。==编码的格式为:%加字符的ASCII码,即一个百分号%,后面跟对应字符的ASCII(16进制)码值。例如,空格的编码值是"%20"。 ...
Javaspringboot中URL带有斜杠的转义字符百分之2F导致的400错误
非正常人研究室
01-19 2万+
今天项目上出现一个问题,是前端的GET请求url中带有路径参数,这个参数中有/这个特殊字符,前端已经转移成了%2F,后端用的是springboot,并没有收到这个请求,直接返回了400的错误 原因 据说是tomcat默认是不支持转义的,需要手动设置一下转化,这个搜索tomcat的设置可以找到,但是这个是springboot,有内置的tomcat,但是在yml中找不到相关的配置。 解决方式 修改...
c#转义字符串中的所有正则特殊字符方法示例
01-20
代码如下:///  /// 转义字符串中所有正则特殊字符 /// </summary> /// ”input”>传入字符串</param> /// <returns></returns> string FilterString(string input) { input = input.Replace(“\\”, “\\\\”...
JQuery对id中含有特殊字符的转义处理示例
10-26
id中包含其他特殊字符比如 /@ 等为了利用jquery获取该元素需要转义特殊字符,具体实现如下,感兴趣的朋友可以参考下
c语言基础之字符串+转义字符
01-03
字符串的结束标志是\0的转义字符。在计算字符串空间长度的时候,\0作为结束标志,不算作字符串内容。 例如: 这时候我们发现空字符串的空间长度为1,原因是系统默认\0作为字符串的结束标志,不算作字符串内容,此时...
URL 的编码和解码——%2F,%2B等特殊字符
mseoffice的博客
12-22 4011
编码的格式为:%加字符的ASCII码,即一个百分号%,后面跟对应字符的ASCII(16进制)码值。例如 空格的编码值是"%20"。有些符号在URL中是不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。如果不使用转义字符,这些编码就会当URL中定义的特殊字符处理。2.空格 URL中的空格可以用+号或者编码 %20。7.& URL 中指定的参数间的分隔符 %26。分隔实际的 URL 和参数 %3F。1.+ URL 中+号表示空格 %2B。8.= URL 中指定参数的值 %3D。
%2F、%3F url中这些符号
xiaoxiaodechongzi的博客
10-11 4452
因为有些符号在URL中是有特殊含义的,或者是和url的结构定义有冲突,不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。,即一个百分号%,后面跟对应字符的ASCII(16进制)码值。例如 空格的编码值是"%20"。如果不使用转义字符,这些编码就会当URL中定义的特殊字符处理。下表中列出了一些URL特殊符号及编码 十六进制值。URL中的空格可以用+号或者编码。URL 中指定的参数间的分隔符。分隔实际的 URL 和参数。URL 中+号表示空格。URL 中指定参数的值。
解决URL网址中遇到%2F或%5C(正反斜杠)等特殊符号导致URL重写失效出现404的问题...
liNewman的博客
05-09 9201
解决URL网址中遇到%2F或%5C(正反斜杠)等特殊符号导致URL重写失效出现404的问题 在使用Apache地址重写mod_rewrite期间,发现,当URL和PATH_INFO中出现/(/)或者\(\), 会被认为这是个不合法的请求, Apache将会直接返回"404 (Not Found)"错误。 也就是说,Apache在调用 mo...
URL编码特殊字符%2F,%2B,%3F,%25
zichen的博客
01-24 6041
https://blog.csdn.net/w892824196/article/details/108198197
URL地址中的%2F、%3F、%3D、%3A是什么意思
热门推荐
xiuxian_ing的博客
04-17 3万+
我们见到的正常的url地址应该是长这个样子的,https://www.baidu.com。但是也有一些url地址经过编码了,如长成这样的https%3A%2F%2Fdocument-cdn.yxtxcsq.com%2Fdoc%2Fpdf%2F03%2F000010%2F001636%2F2020%2F03%2F21%2F9e6ddc29c6028b34cd57126f8d1d0c78.pdf%3Fsign%3D6f8799f678c86acb7b5b6802e345c0d5%26t%3D1650180644
“http://”与“http%3A%2F%2F”,转义与解析
上好佳的博客
07-21 3万+
URL作为参数传递,需将URL进行转义,可以使用JS中提供转义字符串和解析字符串的方法 转义字符串(encodeURIComponent) let url = 'http%3A%2F%2Fm.test.com%2Flogin' url = encodeURIComponent(url) console.log(url) // http://m.test.com/login 解析字符串(decodeURIComponent) let url = 'http://m.test.com/log.
js转义字符串与解析字符串(%3A%2F%)
weixin_34018202的博客
08-17 2969
转义字符串:encodeURIComponent(str) 解析字符串:decodeURIComponent(str) <html><body> <script type="text/javascript"> var test1="http://www.w3school.com.cn/My first/"document.write(encodeU...
url参数含有/获取后变成%2f
09-05
URL 是统一资源定位符(Uniform Resource Locator)的缩写,是用于定位和标识互联网上资源的地址。在 URL 中,参数是用来向服务器传递额外的数据,以便服务器根据这些参数来生成动态的内容。 在 URL 中,斜杠(/)作为路径分隔符,用于标识资源在服务器上的位置。如果 URL 参数中包含斜杠,则可能会导致路径解析错误。 当 URL 中的参数包含斜杠时,浏览器会将斜杠进行转义处理,即将斜杠变成 %2F,这是为了防止斜杠被误解为路径分隔符。 例如,如果有一个 URL:https://example.com/page?param=/value,其中 param 参数的值为 "/value",则浏览器会将其转义为:https://example.com/page?param=%2Fvalue。 在服务器端接收到这个 URL 时,会对参数进行解析处理。如果服务器端的代码没有正确处理转义后的参数,可能会导致参数解析错误,导致服务器无法正确获取参数的值。 为了避免这种情况发生,服务器端应该正确处理 URL 参数的转义,将转义后的斜杠还原成斜杠,以正确获取参数的值。 总结起来,当 URL 参数中含有斜杠时,浏览器会对斜杠进行转义处理,即将斜杠变成 %2F,以防止路径解析错误。而服务器端应该正确处理转义后的参数,将转义的斜杠还原成斜杠,以正确获取参数的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值