Tomcat URL 有特殊字符问题

最新推荐文章于 2023-07-04 10:38:05 发布
最新推荐文章于 2023-07-04 10:38:05 发布
阅读量5.7k 收藏 7
点赞数 2
分类专栏: 休闲
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beta_xiyan/article/details/86692187
版权

Tomcat 早起版本是支持特殊字符的,不过后来版本中认为这些字符是不安全的(unsafe),所以不能直接在URL 中对这些字符直接传入,需要编码来表示,有人提出异议后Tomcat给开发人员留了个后门 ,可以自行配置:

修改conf文件夹下的catelina.properties文件:tomcat.util.http.parser.HttpParser.requestTargetAllow=|{} #仅限于|,{,}三种
在这里插入图片描述
这个方式仅支持|{}三种,其他字符是不能配的,所以用的时候需要将传的时候做一个转换,具体如下:

字符描述用法编码
;分号保留%3B
/斜线保留%2F
?问号保留%3F
:冒号保留%3A
@“at”符号保留%4
=等号保留%3D
&“和”符号保留%26
<小于号不安全%3C
>大于号不安全%3E
"双引号不安全%22
#井号不安全%23
%百分号不安全%25
{左大括号不安全%7B
}右大括号不安全%7D
竖线不安全%7C
\反斜线不安全%5C
^加字号不安全%5E
~波浪不安全%7E
[左中括号不安全%5B
]右中括号不安全%5D
`反单引号不安全%60
空格不安全%20

直接使用编码替换原字符就可以。

beta_xiyan
关注
专栏目录
修改springBoot内置Tomcat请参数可以支持特殊字符
weixin_43858882的博客
08-28 936
/** * @version v1.0 * @ProjectName: xxxx * @ClassName: TomcatConfig * @Description: tomcat请求参数特殊字符处理问题 * @Author: xxxx * @Date: 2020/8/27 17:15 */ @Configuration public class TomcatConfig { @Bean public ConfigurableServletWebServerFactory we
tomcat容器下 http 请求参数中特殊字符(+、&、%)的问题
Voteless_Cz的博客
08-07 7564
一、现象 大家在java web 开发过程中,应该遇到过请求参数中有特殊字符导致后台获取参数异常的情况。 参数中有 + : 比如参数是 voteless+cz ,在后台用 request.getParameter(); 获取,发现变成了 voteless cz。就是 + 变成了 空格; 参数中有&amp; : 比如参数是 voteless&amp;cz,在后台用 ...
Tomcat高版本中特殊字符问题 :java.lang.IllegalArgumentException: Invalid character found in the request target
热门推荐
你是不是傻的java大坑
01-03 4万+
post请求,请求中带有JSON格式的参数。在tomcat8.5.3、tomcat9中,请求会被拦截,在tomcat7.0.84中就不会。 JSON: { "aaa": [758, 2392], "bbb": [755], "ccc": [760] } 报错: 原因: 查了资料,大部分都说是新的标准中,请求不支持“{}”,但是把大括号转义之后还是出现同...
使用Tomcaturl地址中包含大括号{}的特殊字符无法识别问题多种解决方法
望远烬的博客
06-11 4120
零、简单粗暴,更换Tomcat版本为能识别的版本 该点参考自博主Carino_U文章https://blog.csdn.net/Carino_U/article/details/78973120 根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到8以后,对url字符的检查都变严格了,如果出现这类字符,tomcat将直接返回400状态码。 后来有人对此提出了异义,见:https://...
tomcaturl请求中的特殊字符处理 分析
qq_41891666的博客
11-30 3667
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器中用 …;/来进
SpringBoot2.1.3修改tomcat参数支持请求特殊符号问题
08-26
总结一下,解决SpringBoot 2.1.3中Tomcat不支持请求特殊字符问题,主要步骤是通过`@Bean`注解创建一个`TomcatServletWebServerFactory`,然后使用`addConnectorCustomizers`方法来定制Tomcat连接器,允许特殊字符...
tomcat8 url包含|等特殊字符报错400的问题
03-09 3951
在做javaweb项目,关于统一错误页面在开发的过程中就做过编码,并且一直都很有效,像500,404,403等常规错误码都能得到有效处理,但是400却不行,而且还暴露tomcat的版本信息,这是很严重的安全漏洞 解决方法百度和测试很多,总结如下: 问题产生: 根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字符,服务器tomcat将直接返回400状态码。
tomcat8get请求url格式问题
01-14
原因:由于tomcat的新版本增加了一个新特性,就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了...
tomcat配置url跳转_Tomcat URL跳转漏洞【CVE201811784】
weixin_39967405的博客
11-20 1581
背景: 这个漏洞是有CVE的CVE-2018-11784,这是一个任意URL跳转漏洞,具体案例可以参考H1的一个漏洞,https://hackerone.com/reports/387007 下面就来剖析一下。CVE描述:https://nvd.nist.gov/vuln/detail/CVE-2018-11784当Apache Tomcat版本9.0.0.M1到9.0.11、8....
tomcat7.0.109版本在url 中有特殊字符报错400处理方式
最新发布
12-26
Tomcat 7.0.109版本在URL中出现特殊字符会导致400错误,在处理这个问题,我们需要注意以下几点。首先,我们需要确认特殊字符的具体类型,比如空格、&符号、中文字符等,以便更精准地定位问题。其次,我们可以...
tomcat 拦截特殊字符解决办法||||tomcat拦截特殊字符报400,如 “|“ “{“ “}“ “,“等符号的解决方案
qq_43476358的博客
10-13 3006
错误概述及截图和400错误解析 传参数的候又没有对“|”进行url编码这个候他们用这个url访问我们会导致服务器一致报400的错误 VM2418 nkworkflowx.runtime.js:836 GET http://localhost:8080/nkbdc/workflowx/WFNAV?action=runtime.WorklistFrame&AppID=10150&state=2&_TCODE|is=2021101300001 400 (Bad Request) wf
tomcat 拦截特殊字符解决办法
csl12919的博客
07-04 934
tomcat 拦截特殊字符解决办法
Tomcat url特殊字符无法使用解决办法
weixin_40381547的博客
12-01 2302
Tomcat url特殊字符无法使用解决办法 url中不允许使用|,{,}等特殊的字符,若出现这些字符Tomcat将会直接返回400状态码。 1.因此需要更换一下版本的Tomcat 版本 地址 8.5.x至8.5.12 https://archive.apache.org/dist/tomcat/tomcat-8/ 8.0.x至8.0.42 https://archive.ap...
Tomcat9URL不支持特殊字符解决方案
SuperstarSteven的博客
08-16 1763
在我们项目中有一些导出的地方使用 get 请求后台,并且将页面上面的查询参数进行了序列化传递给后台。今天发现测试版服务器上的应用无法正常导出,最后发现是 Tomcat 的机制导致。 这是因为 Tomcat 严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~ 4个特殊字符以及所有保留字符 (RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。传入的
Tomcat8升级后URL特殊字符报错出现原因
weixin_30797199的博客
09-12 559
请求带上花括号等字符,请求无法送达服务端,报错: Failed to load resource: the server responded with a status of 400 () https://blog.csdn.net/Carino_U/article/details/78973120 用springboot开发接口,SpringBoot URL带有特殊字符([]/...
Tomcat 服务器对请求中一些特殊的符号需作处理
menghuannvxia的专栏
06-28 418
服务器对请求中一些特殊的符号需作处理
tomcat8.5.30之后拦截特殊字符解决办法
u010509143的专栏
05-28 1008
tomcat8.5.30之后拦截特殊字符解决办法 Tomcat8.5.30之后的版本,参数中有特殊字符的话会报错,直接返回400 Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level. java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值