Tomcat高版本版本过滤特殊字符{ }[ ] | \的问题及requestTargetAllow用法

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量5.6k 收藏 4
点赞数 2
分类专栏: 开发工具、tomcat等知识总结 文章标签: tomcat
原文链接:https://blog.csdn.net/ssrswk9/article/details/100132243
版权

最近项目tomcat升级,从6升到9,碰到了一系列问题。其中,拼特殊字符串时,会报错。报错显示

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:468)
org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:294)
org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
org.apache.coyote.AbstractProtocol C o n n e c t i o n H a n d l e r . p r o c e s s ( A b s t r a c t P r o t o c o l . j a v a : 853 ) o r g . a p a c h e . t o m c a t . u t i l . n e t . N i o E n d p o i n t ConnectionHandler.process(AbstractProtocol.java:853) org.apache.tomcat.util.net.NioEndpoint ConnectionHandler.process(AbstractProtocol.java:853)org.apache.tomcat.util.net.NioEndpointSocketProcessor.doRun(NioEndpoint.java:1587)
org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
java.util.concurrent.ThreadPoolExecutor W o r k e r . r u n ( T h r e a d P o o l E x e c u t o r . j a v a : 624 ) o r g . a p a c h e . t o m c a t . u t i l . t h r e a d s . T a s k T h r e a d Worker.run(ThreadPoolExecutor.java:624) org.apache.tomcat.util.threads.TaskThread Worker.run(ThreadPoolExecutor.java:624)org.apache.tomcat.util.threads.TaskThreadWrappingRunnable.run(TaskThread.java:61)
java.lang.Thread.run(Thread.java:748)
Note The full stack trace of the root cause is available in the server logs.

出现这种问题的原因是在低版本中存在安全漏洞代号CVE-2016-6816
在高版本被修复,高版本默认不允许在访问路径后边追加不符合RFC 3986文档规定的字符(注意有些字符虽然符合文档规范,但是可能不安全存在歧义,也会被拦截,比如 [])

根据网上查的资料,解决思路有几种。降级tomcat,配属性文件等。

先分析将tomcat降级的情况,这是不合理的,升级tomcat是为了项目运行更流畅。tomcat6用的是bio,tomcat9用的是nio,很显然nio比bio更流畅,而且也能解决tomcat漏洞。

配属性文件这种方法,在tomcat8.5,tomcat7里面可行,解决办法如下:

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

这行配置在属性文件中是注释掉的,需要放开注释

其中,属性文件value值的配置,只能配置| { }这三个值,如果要配置[ ] \ 这种值是不起作用的

而且,这种办法对9.0.22一系列tomcat9的版本是不起作用的,因为属性文件中没有这些注释,配置了也没有用。根据文档,直接说解决办法。

在server.xml文件的Connector连接器中,增加这两个属性配置,key值为属性名,value值是要过滤的字符串的值,配置如下:

relaxedPathChars="|{}[]^" relaxedQueryChars="|{}[]^"

配置完成后,重新启动服务,经过验证,是可行的

有一点需要注意:这两个属性值,如果你需要配置,千万注意 <> 的配置,配置不对,tomcat启动不起来。这两个属性是全局的属性配置,在tomcat7、tomcat8中也可以配置

属性文件的文档资料链接地址:https://tomcat.apache.org/tomcat-9.0-doc/config/http.html

井底的青蛙
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tomcat 拦截特殊字符解决办法
qq_39835384的博客
09-27 4040
拦截特殊字符解决办法tomcat安装解压版解决SpringBoot中自带tomcat解决 tomcat安装解压版解决 在安装目录下,conf 目录下 server.xml中 第70 行代码,修改为以下: <Connector port="8082" protocol="HTTP/1.1" connectionTimeout="20000" rela...
基于tomcat8 编写字符编码Filter过滤器无效问题的解决方法
08-28
基于tomcat8 编写字符编码Filter过滤器无效问题的解决方法 在基于tomcat8 的Web应用程序中,字符编码问题是常见的问题之一。特别是在处理POST请求时,中文字符可能会出现乱码的情况。为了解决这个问题,我们可以...
Tomcat9.0.22版本过滤特殊字符{ }[ ] | \的问题
ssrswk9的博客
08-29 5907
最近项目tomcat升级,从6升到9,碰到了一系列问题。其中,拼特殊字符串时,会报错。报错显示 java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 org.apac...
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1368
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
tomcat8 中 get请求特殊字符过滤
weixin_30764883的博客
01-08 550
请求中包含特殊字符 [] | {} 发送get请求失败: 原因: 这是因为Tomcat严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。传入的参数中有...
tomcat 处理url特殊字符
weixin_42891455的博客
03-14 1363
tomcat添加了对header请求头的验证,因请求路径中带有[]{}等字符,所以无法通过校验。如果是springboot项目则将webServerFactory方法加入到springboot启动类。在Connector节点下添加属性 URIEncoding="UTF-8"即可。3、更换低版本Tomcat来规避这种问题。ps :如何解决tomcat乱码问题。该配置只对以上三种特定字符有效。tomcat版本:7.0.93。1、去除URL中的特殊字符;经测试之后,该问题解决!
tomcat拦截url特殊字符的处理
weixin_44100470的博客
03-24 1040
** Invalid character found in the request target [/select/list?pageNum=1&pageSize=15&condition=[%7B%22column%22:%20%22id%22,%22value%22:%202,%20%22type%22:%20%22eq%22%7D]]. The valid characters are defined in RFC 7230 and RFC 3986 ** 出现上述问题是HTTP请求中
Tomcat配置拦截特殊字符
sinat_39488150的博客
01-19 532
<Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol" connectionTimeout="20000" URIEncoding="UTF-8" maxThreads="1000" minSpareThreads="100" acceptCount="1000"
tomcat 拦截特殊字符解决办法||||tomcat拦截特殊字符报400,如 “|“ “{“ “}“ “,“等符号的解决方案
qq_43476358的博客
10-13 2937
错误概述及截图和400错误解析 传参数的时候又没有对“|”进行url编码这个时候他们用这个url访问我们会导致服务器一致报400的错误 VM2418 nkworkflowx.runtime.js:836 GET http://localhost:8080/nkbdc/workflowx/WFNAV?action=runtime.WorklistFrame&AppID=10150&state=2&_TCODE|is=2021101300001 400 (Bad Request) wf
详解springboot-修改内置tomcat版本
09-30
主要介绍了springboot-修改内置tomcat版本的相关资料,希望通过本文大家能掌握这样的方法,需要的朋友可以参考下
Tomcat与JDK版本对应关系以及Tomcat版本特性
01-10
不同版本的Servlet和JSP规范可使用不同版本的Apache TomcatTomcat与JDK版本对应关系为: Servlet规格 JSP规范 EL规格 WebSocket规范 JASPIC规格 Apache Tomcat版本 最新发行版本 支持的Java版本 4.0 2.3 ...
APACHE TOMCAT 重要信息暴露
01-18
ugtraq id 1532 class Design Error cve GENERIC-MAP-NOMATCH remote Yes local No published July 20, 2000 updated August 02, 2000 vulnerable Apache Group Tomcat 3.1
SpringBoot2.1.3修改tomcat参数支持请求特殊符号问题
08-26
总结一下,解决SpringBoot 2.1.3中Tomcat不支持请求特殊字符问题,主要步骤是通过`@Bean`注解创建一个`TomcatServletWebServerFactory`,然后使用`addConnectorCustomizers`方法来定制Tomcat连接器,允许特殊字符...
Springboot项目请求tomcat特殊字符拦截最优解决方案
博客
06-12 2933
SpringBoot内嵌tomcat版本大于8.0对请求URL做了严格的过滤, RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ]) java.lang.IllegalArgumentException: Invalid character found in the request target. The vali
tomcat对url请求中的特殊字符处理 分析
qq_41891666的博客
11-30 3477
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器中用 …;/来进
Tomcat版本特殊字符问题 :java.lang.IllegalArgumentException: Invalid character found in the request target
热门推荐
你是不是傻的java大坑
01-03 4万+
post请求,请求中带有JSON格式的参数。在tomcat8.5.3、tomcat9中,请求会被拦截,在tomcat7.0.84中就不会。 JSON: { "aaa": [758, 2392], "bbb": [755], "ccc": [760] } 报错: 原因: 查了资料,大部分都说是新的标准中,请求不支持“{}”,但是把大括号转义之后还是出现同...
tomcat特殊字符处理问题解决方案
10年职场两茫茫,35岁凄凉奈若何
08-06 422
tomcat特殊字符处理问题解决方案
tomcat 过滤过滤特殊字符
04-16
Tomcat过滤器是一种用于对HTTP请求和响应进行预处理和后处理的组件。通过使用过滤器,可以对请求进行修改、验证或者拦截,以及对响应进行修改或者增强。 要过滤特殊字符,可以使用Tomcat提供的字符编码过滤器(CharacterEncodingFilter)。该过滤器可以将请求和响应的字符编码设置为指定的编码方式,从而防止特殊字符引起的安全问题。 以下是使用Tomcat过滤过滤特殊字符的步骤: 1. 在web.xml文件中配置过滤器: ```xml <filter> <filter-name>CharacterEncodingFilter</filter-name> <filter-class>org.apache.catalina.filters.CharacterEncodingFilter</filter-class> <init-param> <param-name>encoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>forceEncoding</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>CharacterEncodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 上述配置将请求和响应的字符编码设置为UTF-8。 2. 部署应用程序并启动Tomcat服务器。 通过以上配置,Tomcat会自动将请求和响应的字符编码设置为UTF-8,从而过滤特殊字符
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值