Tomcat默认拦截带转义字符的URL,报400
Tomcat拦截
最近在开发中发现一个问题,url指定的是后端的一个文件访问目录,格式如下:
/spring_ws/files/users/test
利用@RequestMapping
的多层通配符**
匹配:
@RequestMapping("/spring_ws/files/**")
public void listFiles() {
String url = request.getRequestURI();
// 截取url中files之后的部分作为文件路径访问
String filePath = url.substring(url.indexOf("files") + "files".length());
// 解析URL中含有的转义字符等
filePath = URLDecoder.decoder(filePath, "UTF-8");
/* do something */
}
上述配置初衷是匹配/spring_ws/files/
下的所有请求,然后将 /spring_ws/files/ 后面的url作为访问文件目录。正常访问的URL:/spring_ws/files/users/test 没有问题,但是当把URL中文件路径部分的反斜杠(/)用转义字符%2F
代替时(/spring_ws/files/users%2Ftest ),发现竟然报了HTTP 400 Bad Request
!
按照代码逻辑,转义之后的users%2Ftest 会当做一个整体,/spring_ws/files/**会匹配多层目录,自然就会匹配spring_ws/files/users%2Ftest,但是报错400就很不理解,怀疑可能是Spring内部拦截或者tomcta拦截了。
通过查找相关资料发现,Tomcat的新版本中增加了一个新特性,就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。
URL常见特殊字符转义
字符 | URL编码值 |
---|---|
空格 | %20 |
" | %22 |
# | %23 |
% | %25 |
& | %26 |
( | %28 |
) | %29 |
+ | %2B |
, | %2C |
/ | %2F |
: | %3A |
; | %3B |
< | %3C |
= | %3D |
> | %3E |
? | %3F |
@ | %40 |
\ | %5C |
| | %7C |
允许带%URL
可以通过配置tomcat允许带%URL,常见的方法有:
- 在tomcat文件目录下的
conf/catalina.properties
配置文件中配置
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
- 在tomcat的启动参数中加入
-Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
Spring Security抛出RequestRejectedException
如果后端引入了Spring Security,则URL中含有特殊字符会报RequestRejectedException
,这时候访问会报HTTP 500
的错误。
参考资料:
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)