问题描述
请求参数含有特殊字符时后台报这个错误:
信息: Error parsing HTTP request header
Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.InternalAprInputBuffer.parseRequestLine(InternalAprInputBuffer.java:235)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1000)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637)
at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.doRun(AprEndpoint.java:2517)
at org.apache.tomcat.util.net.AprEndpoint$SocketProcessor.run(AprEndpoint.java:2506)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
查了资料原因是 Tomcat在 7.0.73, 8.0.39, 8.5.7 版本后,添加了对于http头的验证。
安全定义
安全字符
- 英文字母 : a-zA-Z
- 数字 : 0-9
- 特殊字符 : -_.~
- 保留字符 : !*'();:@&=+$,/?#[]
不安全字符
- 空格 : Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉
- "(双引号) 以及 <>(尖括号) : 引号和尖括号通常用于在普通文本中起到分隔Url的作用
- # : 通常用于表示书签或者锚点
- % : 百分号本身用作 对 不安全字符进行转码 的特殊字符 , 所以必须要转码
- {}|^[]`~ : 某一些网关或者传输代理会篡改这些字符
- 中文 : 中文作为一个特殊编码 , 对tomcat来说 ,也是不识别的.所以必须转码
org.apache.tomcat.util.http.parser.HttpParser#IS_NOT_REQUEST_TARGET[]
中定义了一堆not request target
if(IS_CONTROL[i] || i > 127 || i == 32 || i == 34 || i == 35 || i == 60 || i == 62 || i == 92 || i == 94 || i == 96 || i == 123 || i == 124 || i == 125) {
IS_NOT_REQUEST_TARGET[i] = true;
}
- 键盘上那些控制键:(<32或者=127)
- 非英文字符(>127)
- 空格(32)
- 双引号(34)
- #(35)
- <(60)
- >(62)
- 反斜杠(92)
- ^(94)
- ` : TAB上面那个键(96)
- {(123)
- }(124)
- |(125)
三种解决方案
方案一:
更换低版本的Tomcat来规避这种问题。
使用 7.0.73 之前的版本
方案二:
在conf/catalina.properties中最后添加一行:
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
或者,把要安全使用的放到配置后面
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
方案三:
- get 请求,参数转码
- post请求,放到body中
参数转码
encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C
个人问题
升级Tomcat到8.5 后 , 出现这个问题. 经查证, 是Request url 中 , 出现了中文.
将参数encode后,问题解决!
参考
[异常:Invalid character found in the request target. The valid characters are defined in RFC 3986 : 作者:码上笔记]https://blog.csdn.net/ak57193856/article/details/77892749