Tomcat HTTP Url特殊字符限制

已于 2022-10-31 20:59:36 修改
阅读量3.2k 收藏 6
点赞数
分类专栏: Tomcat 文章标签: tomcat http java
于 2022-06-19 14:09:52 首次发布
觉得此文有帮助的,就点个赞或留个言呐~ 若要转载的话,请注明文章出处哦
本文链接:https://blog.csdn.net/why_still_confused/article/details/125289089
版权
问题描述

Tomcat 8.5.7+,当Get请求中包含了未经编码的中文字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了,并返回http 400错误。

Tomcat报错:

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
问题原因

Tomcat在Tomcat 7.0.73+,Tomcat 8.0.39+,Tomcat 8.5.7+,Tomcat 9.0.0.M12 (markt)+版本后,在http url解析时做了严格字符限制,url包含特殊字符将直接返回http code 400

RFC 3986

Tomcat7.0.73添加了RFC 3986这个规范。RFC 3986文档对Url的编解码问题做出了详细的建议,指出了哪些字符需要被编码才不会引起Url语义的转变,以及对为什么这些字符需要编码做出了相应的解释。

RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符! * ' ( ) ; : @ & = + $ , / ? # [ ]。当在URL中使用保留字符时,需要对保留字符进行转义。(还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。)

  • 空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。
  • 引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用
  • #:通常用于表示书签或者锚点
  • %:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
  • {}|\^[]~`:某一些网关或者传输代理会篡改这些字符

requestTargetAllow

$TOMCAT_HOME/conf/catalina.properties,添加属性 tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

该参数只支持|{}三个参数的拦截过滤

该系统参数在高版本tomcat.util.http.parser.HttpParser.requestTargetAllow已废弃,Tomcat让使用Connector中的relaxedPathCharsrelaxedQueryChars代替

在这里插入图片描述

relaxedQueryChars

$TOMCAT_HOME/conf/server.xmlConnector添加relaxedQueryChars属性

Tomcat多实例则修改$TOMCAT_BASE/catalina_base/conf/server.xml

<Connector port="8080" protocol="HTTP/1.1" 
connectionTimeout="20000" 
relaxedQueryChars="[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" 
redirectPort="8443" />

参考资料:

  1. Tomcat 8.5
  2. Tomcat http config
修改springBoot内置Tomcat请参数可以支持特殊字符
weixin_43858882的博客
08-28 1064
/** * @version v1.0 * @ProjectName: xxxx * @ClassName: TomcatConfig * @Description: tomcat请求参数特殊字符处理问题 * @Author: xxxx * @Date: 2020/8/27 17:15 */ @Configuration public class TomcatConfig { @Bean public ConfigurableServletWebServerFactory we
tomcat配置url跳转_Tomcat URL跳转漏洞【CVE201811784】
weixin_39967405的博客
11-20 1690
背景: 这个漏洞是有CVE的CVE-2018-11784,这是一个任意URL跳转漏洞,具体案例可以参考H1的一个漏洞,https://hackerone.com/reports/387007 下面就来剖析一下。CVE描述:https://nvd.nist.gov/vuln/detail/CVE-2018-11784当Apache Tomcat版本9.0.0.M1到9.0.11、8....
Tomcat配置拦截特殊字符
最新发布
sinat_39488150的博客
01-19 803
<Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol" connectionTimeout="20000" URIEncoding="UTF-8" maxThreads="1000" minSpareThreads="100" acceptCount="1000"
tomcat中配置允url中带有特殊字符
热门推荐
打杂人
09-13 1万+
根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字符,tomcat将直接返回400状态码。     后来有人对此提出了异义,见:    https://bz.apache.org/bugzilla/show_bug.cgi?id=60594  
tomcat 处理url特殊字符
weixin_42891455的博客
03-14 1463
tomcat添加了对header请求头的验证,因请求路径中带有[]{}等字符,所以无法通过校验。如果是springboot项目则将webServerFactory方法加入到springboot启动类。在Connector节点下添加属性 URIEncoding="UTF-8"即可。3、更换低版本的Tomcat来规避这种问题。ps :如何解决tomcat乱码问题。该配置只对以上三种特定字符有效。tomcat版本:7.0.93。1、去除URL中的特殊字符;经测试之后,该问题解决!
Tomcat高本版 HTTP Url特殊字符限制
weixin_48329549的博客
11-14 809
Tomcat高本版请求头特殊符文问题
tomcaturl请求中的特殊字符处理 分析
qq_41891666的博客
11-30 3946
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器中用 …;/来进
SpringBoot2.1.3修改tomcat参数支持请求特殊符号问题
08-26
这通常是因为Tomcat服务器默认配置不支持某些特殊字符,如"[\]^`{|}"等。本文将详细介绍如何在SpringBoot 2.1.3版本中修改Tomcat参数来解决这个问题。 首先,我们需要理解这个问题的根本原因。在HTTP协议中,URL...
SpringBoot在前端发送url时,不能识别特殊字符的问题
_天涯__的博客
05-08 2056
由于Tomcat的新版本中增加了一个新特性,就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。 比如发送url中有: MATCH (m)-[r:`品牌`]->(n) where n.name=~".*海尔.*" RETURN m.name LIMI
SpringBoot 之更改 TomcatURL 校验规则
Flying fish的博客
02-28 2957
原文地址:https://maiyikai.github.io/2020/02/27/1582786564/ Spring Boot 项目中都会嵌入 Tomcat, 在不同版本的 Spring Boot 下,也会嵌入不同版本的 TomcatTomcat 作用和用途这里就不用再赘述了… 在项目的迁移过程中,由原先的 Servlet 项目 改造成了 Sprong Boot 项目,导致了一系列的问题...
tomcat7.0.109版本在url 中有特殊字符报错400处理方式
12-26
另外,我们还需要检查Tomcat的配置文件,确认是否对特殊字符做了限制或过滤,如果有的话需要相应地调整配置。最后,为了更好地排查问题,我们可以使用一些网络抓包工具,比如Wireshark,来对URL进行抓包分析,以便更...
Tomcat 服务器对请求中一些特殊的符号需作处理
itgraph的博客
07-13 2885
今天我把以前开发过的已经投入生产的一个数据抽取通道Servlet中间组件,为了使用python将ETL工程化,拿出来只能放到开发环境发布,以便测试。 然而之前一直用的WebSphere服务器,只能放在Tomcat中发布该中间组件,将一个请求参数中含有百分号‘%’ 的URL去访问,却碰到缺失参数的报错, 百思不得解,因为之前一直认为是对的事情一下子不正确了,只能把源代码拿出来去作debug打出日
使用Tomcaturl地址中包含大括号{}的特殊字符无法识别问题多种解决方法
望远烬的博客
06-11 4319
零、简单粗暴,更换Tomcat版本为能识别的版本 该点参考自博主Carino_U文章https://blog.csdn.net/Carino_U/article/details/78973120 根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到8以后,对url字符的检查都变严格了,如果出现这类字符,tomcat将直接返回400状态码。 后来有人对此提出了异义,见:https://...
Tomcat url特殊字符无法使用解决办法
weixin_40381547的博客
12-01 2433
Tomcat url特殊字符无法使用解决办法 url中不允许使用|,{,}等特殊的字符,若出现这些字符Tomcat将会直接返回400状态码。 1.因此需要更换一下版本的Tomcat 版本 地址 8.5.x至8.5.12 https://archive.apache.org/dist/tomcat/tomcat-8/ 8.0.x至8.0.42 https://archive.ap...
Tomcat9.0.22版本过滤特殊字符{ }[ ] | \的问题
ssrswk9的博客
08-29 6204
最近项目tomcat升级,从6升到9,碰到了一系列问题。其中,拼特殊字符串时,会报错。报错显示 java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 org.apac...
Tomcat设置URL兼容特殊符号
宇宙的黑洞
03-03 3572
catalina.properties配置: tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}[] org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true server.xml配置: <Connector port="80" protocol="HTTP/1....
访问tomcat的参数中特殊字符的处理
Wechatcqy的博客
03-25 338
配置类中加入以下bean方法 @Bean public TomcatServletWebServerFactory webServerFactory() { TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory(); factory.addConnectorCustomizers(new TomcatConnectorCustomizer() { @Override public void c
tomcat 拦截特殊字符解决办法
csl12919的博客
07-04 1064
tomcat 拦截特殊字符解决办法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值