一、问题
- 一大早来公司,发现上周部署的springboot项目出现了问题。查看日志发现报一下错误:
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:476) ~[tomcat-embed-core-8.5.29.jar!/:8.5.29]
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:687) ~[tomcat-embed-core-8.5.29.jar!/:8.5.29]
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66) [tomcat-embed-core-8.5.29.jar!/:8.5.29]
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:790) [tomcat-embed-core-8.5.29.jar!/:8.5.29]
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1459) [tomcat-embed-core-8.5.29.jar!/:8.5.29]
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) [tomcat-embed-core-8.5.29.jar!/:8.5.29]
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) [na:1.8.0_252]
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) [na:1.8.0_252]
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-8.5.29.jar!/:8.5.29]
at java.lang.Thread.run(Thread.java:748) [na:1.8.0_252]
- 首先看异常第一感觉是RFC表有关。 很明显人家说:
在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义。
二、排查问题
- 经过一番查找还真是如上分析,就是字符无效
发现前有条请求所带参数是微信返回的一个加密字符串,其中包含\ _ |这样的符号。
Tomcat在 7.0.73, 8.0.39, 8.5.7 版本后,添加了对于http头的验证。
具体来说,就是添加了些规则去限制HTTP头的规范性。
org.apache.tomcat.util.http.parser.HttpParser#IS_NOT_REQUEST_TARGET[]中定义了一堆not
request target
if(IS_CONTROL[i] || i > 127 || i == 32 || i == 34 || i == 35 || i == 60 || i == 62 || i == 92 || i == 94 || i == 96 || i == 123 || i == 124 || i == 125) { IS_NOT_REQUEST_TARGET[i] = true; }
三、解决方案
- 1 前端处理:
对这个“中文参数”编码即可。对于get请求如果你的请求是get,参数有中文的,比如 ?name=张上,按照如下处理前端使用 encodeURIComponent(encodeURIComponent(url)),对url进行二次编码。后端:拿到参数值,使用URLDecoder.decode(s, “UTF-8”)解码一下。这样方式确实可行的。
- 2 后端处理
找到你的启动类,添加一下代码,做统一处理:
@Bean
public TomcatServletWebServerFactory webServerFactory() {
TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
factory.addConnectorCustomizers((Connector connector) -> {
connector.setProperty("relaxedPathChars", "\"<>[\\]^`{|}");
});
return factory;
}
四、总结
目前我个人觉得还是直接后端统一处理比较方便可用。我是用的内嵌tomcat,
据听说如果不是springboot内置tomcat的话,可取修改它的配置文件也可进行对恶意字符的处理,
其实说白了就是tomcat高版本中他们对http请求头做出了严格的限制。
你换成低版本7一下的觉得不可能出现RFC这种无效字符异常。
😁 作者:Teddy (公众号:鸡仓故事汇)
ok!到这里就大功告成,小编(Teddy)在这里先感谢大家的到来。
虽然不是太详细,小编已经很努力,给小编来个一键三连(点赞,关注,收藏),小编会越来越努力。。。