研读Tomcat源码来看URI处理特性

已于 2022-12-27 16:51:07 修改
阅读量152 收藏
点赞数
分类专栏: 内网渗透 文章标签: tomcat java 开发语言
于 2022-11-28 10:25:29 首次发布
原文链接:https://xz.aliyun.com/t/11871
版权

声明

出品|先知社区(ID:RoboTerh)

以下内容,来自先知社区的RoboTerh作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

前言

这里通过阅读源码和黑盒测试相结合的方式来更加透彻的了解Tomcat的url解析策略

parsePathParameters

处理逻辑

跟进这个方法的调用,看看具体的逻辑是什么

如果不为空,也即是req.scheme返回的是https,则将会设置secure属性值为true

反之,如果为空,也即是http请求,将会将属性值设置为false

接下来的逻辑就是有代理就设置代理,没有的话,将会判断tomcat有没有对端口进行配置,如果这里是通过https进行请求,将会将服务端口设置为443,反之就是默认端口80

这里主要看看pathParamEnd的获取方式

好了,现在回到parsePathParameters方法中的逻辑来,如果在第一个;后面出现了分隔符,将会进入if语句中去

总结

这里可以简单做个总结

/upload;test ==> /upload

/upload;test/ ==> /upload/

/upload;test;/ ==> /upload/

/upload;te;st/ ==> /upload/

/upload;te/st/ ==> /upload/st/

/upload;te/s;t/ ==> /upload/s/

/upload;te;s;t/ ==> /upload/

/upload;te;s/t/ ==> /upload/t/

这里通过黑白盒的方式,大概可以看出来,

在URI中以;开头,并且以;或者/结尾的地方将会在处理过程中进行舍弃

如果URI末尾存在/,解析之后的URI一定存在/

normalize处理逻辑

接下来我们回到postParseRequest方法中继续阅读Tomcat源码,在这里通过调用req.getURL-Decoder().convert方法对URI进行url解码

这里主要是在URI的Byte数组中寻找是否存在有%, 之后进行后续解码操作,之后来到了normalize方法的调用

/upload/../ ==> /

/upload/./ ==> /upload/

/./upload/ ==> /upload/

/../upload/ ==> /upload/

\upload/ ==> /upload/

\\upload/ ==> /upload/

欢迎关注长白山攻防实验室

定期更新优质文字分享

长白山攻防实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uri:Erlang URI 处理
06-30
Erlang URI 处理库描述这个 OTP 库提供了解析和格式化 RFC3896 URI 字符串的函数。例子 1> uri:parse("syslog://somehost:912").{ok,{syslog,[],"somehost",912,"/",[]}}2> uri_format:to_string(element(2, v(1)))....
tomcat底层会默认对url地址参数或x-www-form-urlencoded格式的key-value进行url解码
yaoct的博客
09-22 552
解析方法在org.apache.tomcat.util.http.Parameters#processParameters(byte[], int, int, java.nio.charset.Charset)当解析到+或%是会进行url解码,源码片段 解码后将添加到key-value值添加到该类这个map中 前端一般需要url编码。比如postman不会在地址中进行url编码,会在x-www-form-urlencoded消息体中进行url编码。以下从postman发出请求,这里key为 pas
tomcat URL解码
wzwd111的专栏
09-18 242
IE缺省对URL后面的参数是不编码发送的,但是tomat缺省是按ISO8859-1来进行URL解码   设置server.xml中的Connector属性URIEncoding="UTF-8",确保解码格式与编码格式统一...
tomcat编解码过程
u010627840的专栏
10-23 715
在使用tomcat的时候, 一直很好奇他是怎么对请求的参数进行编解码的,带着下面三个问题,一起看下。 1. get/post请求参数如何编解码,根据请求头部中什么参数配置 2. URI编码 3. 中文参数为什么会出现乱码 4. POST请求参数form表单和Json编码策略是否一样 1. 下图是tomcat各版本默认的编解码方式 我们发现tomca6和tomcat7对UR...
Tomcat HttpServletRequest.getParameter自动URL解码分析
最新发布
無規則的博客
08-09 399
在Request类的parseParameters方法中,首先将this.parametersParsed设置为true(因此parseParameters方法在处理一次请求时只会执行一次解析请求参数的操作),后续调用parameters.processParameters(byte[] bytes, int start, int len)方法,对应org.apache.tomcat.util.http.Parameters类。在urlDecode方法中,会进行URL解码。
CSS中使用image data URI处理图片的方法
12-13
总结来说,`data URI`是一种优化前端性能的技术,通过将图片嵌入CSS,减少了HTTP请求,但在使用时需要注意其兼容性、文件大小和维护成本等问题,根据具体项目需求权衡利弊。在适合的情况下,它能有效地提升网页加载...
how tomcat work_中文版(源码
07-29
《如何让Tomcat工作:中文版(源码)》是一份深入探讨Web服务器Tomcat工作原理的资源,其中包含了详细的理论讲解以及配套的源码分析。这份资料旨在帮助读者理解Tomcat内部机制,从而能够更好地优化和调试应用程序。 ...
CI框架源码解读之URI.php中_fetch_uri_string()函数用法分析
01-20
这个配置项目定义了你使用哪个服务器全局变量来拟定URL。 默认的设置是auto,会把下列四个方式轮询一遍。当你的链接不能工作的时候,试着用用auto外的选项。 ‘AUTO’ Default – auto detects ‘PATH_INFO’ ...
Uri一个URI处理
08-08
总的来说,Uri库是PHP开发处理URI的利器,它简化了URI的操作,提升了代码质量,同时也增强了安全性。无论是在小型项目还是大型框架中,Uri库都是一个值得信赖的工具。通过深入了解和合理利用这个库,开发者可以更...
Android中的Uri详解
JMW1407的博客
03-16 8057
Uri详解Uri详解1、URIUri2、概述3、示例4、代码提取5、ContentUris处理Uri6、uri与file、path相互转化7、常用Uri参考 Uri详解 1、URIUri 大家可能经常会看到在开发时,怎么有的时候是URI,有的时候是Uri,这是怎么回事? 名称如此相像的两个类是有什么区别和联系? 1.所属的包不同。URI位置在java.net.URI,显然是Java提供的一个类。而Uri位置在android.net.Uri,是由Android提供的一个类。所以初步可以判断,UriURI
Uri内部处理流程分析
zy_jibai
08-18 765
*本篇文章已授权微信公众号guolin_blog (郭霖) 独家发布   前几天在讨论一个很有趣的事情:同事在交流时发现Uri在parse生成时,在里面加入一段其他无关的字符串,同样可以得到想要的值,这么说不太直观,直接上代码吧: ImageView img = findViewById(R.id.img); Uri uri =Uri.parse("android.resource://...
关于springboot项目的tomcaturl解码问题
wheredata的博客
09-02 4055
springboot内嵌的tomcaturl解码问题
解决tomcat URL编码问题的方法
萧若寒
11-14 391
解决tomcat URL编码问题的方法: 在D:\tomcat\conf\server.xml 中 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443"> 加上 <Connecto...
Web容器自动对HTTP请求中参数进行URLDecode处理
收拾心灵_描绘未来
06-05 2万+
Java中也许很多人都没有注意到当我们发送一个http请求给时,如果附带的参数被URLEncode之后,到达web容器之后,开发者获取到的参数值会自动变成了encode之前的值。这是一个很好的特点,开发者完全可以忽略http的参数是否需要decode这种事,但是decode到底是在什么发生的呢?
Tomcat web 编解码过程
zhangbinalan的专栏
07-17 2001
假设客户端通过sender=URLEncoder.encode("中文的测试","GBK")对参数进行编码,格式为 GBK ,编码后是一串16进制字符串【gbk两个字节表示一个字符,utf-8三个字节表示一个字符】 一:GET请求方式: 1:请求的参数都放在http请求的头信息中,在doget方法中调用request.getParameter("sender")时tomca
Tomcat会自动decode,url
qq_27886773的博客
07-08 1791
url1 : http://localhost:8080/file?fileName=%E4%B8%AD%E6%96%87 url2 : http://localhost:8080/file?fileName=中文 解码发生在tomcat里面,在给parameter设置值得时候,value如果是encode的value会被decode的,但是如果没有被encode的值,是不会被deco...
关于配置TomcatURIEncoding
热门推荐
vicky_fish的专栏
12-05 2万+
遇到的问题:      程序需要发送http GET请求到服务器,请求的参数中包含了中文字符。程序中参数为UTF-8格式,且经过了UTF-8 URL编码再发送。使用的tomcat服务器,但服务器端后台程序中取到的参数的中文是乱码。   问题原因: 经过分析,应该是Tomcat解析参数的时候没有使用正确的编码格式(UTF-8)去解码。 查看$TOMCAT_HOME/webapps/tom
tomcatURIEncoding参数的简单理解
fjgdfgjj的个人博客
08-25 2901
我对tomcatURIEncoding参数的简单理解
深入解析Tomcat源码:关键组件与工作原理
《How Tomcat Works》是一本深入剖析Tomcat(特别是4.1.12和5.0.18版本)源码的专业书籍,它针对的是Java开发者,尤其是Servlet和JSP程序员,以及对Web服务器内部工作机制感兴趣的读者。作者通过构建简化模型的方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值