[sun.net.http.allowRestrictedHeaders] system property not set. Header(s) will possibly be ignored.

最新推荐文章于 2024-04-12 11:37:37 发布
最新推荐文章于 2024-04-12 11:37:37 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: jersey java rest glassfish 文章标签: jersey client restricted
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaofanku/article/details/54172412
版权
java 同时被 3 个专栏收录
60 篇文章 1 订阅
订阅专栏
jersey
7 篇文章 0 订阅
订阅专栏
rest
6 篇文章 0 订阅
订阅专栏

catalina.out日志

WARNING [http-nio-80-exec-2] org.glassfish.jersey.client.internal.HttpUrlConnector.setOutboundHeaders Attempt to send restricted header(s) while the [sun.net.http.allowRestrictedHeaders] system property not set. Header(s) will possibly be ignored.

原因:
jersey-client默认使用的是HttpUrlConnection来与jersey通信.它的allowRestrictedHeaders默认为false

/*
 * Restrict setting of request headers through the public api
 * consistent with JavaScript XMLHttpRequest2 with a few
 * exceptions. Disallowed headers are silently ignored for
 * backwards compatibility reasons rather than throwing a
 * SecurityException. For example, some applets set the
 * Host header since old JREs did not implement HTTP 1.1.
 * Additionally, any header starting with Sec- is
 * disallowed.
 *
 * The following headers are allowed for historical reasons:
 *
 * Accept-Charset, Accept-Encoding, Cookie, Cookie2, Date,
 * Referer, TE, User-Agent, headers beginning with Proxy-.
 *
 * The following headers are allowed in a limited form:
 *
 * Connection: close
 *
 * See http://www.w3.org/TR/XMLHttpRequest2.
 */
private static final boolean allowRestrictedHeaders;
private static final Set<String> restrictedHeaderSet;
private static final String[] restrictedHeaders = {
    /* Restricted by XMLHttpRequest2 */
    //"Accept-Charset",
    //"Accept-Encoding",
    "Access-Control-Request-Headers",
    "Access-Control-Request-Method",
    "Connection", /* close is allowed */
    "Content-Length",
    //"Cookie",
    //"Cookie2",
    "Content-Transfer-Encoding",
    //"Date",
    //"Expect",
    "Host",
    "Keep-Alive",
    "Origin",
    // "Referer",
    // "TE",
    "Trailer",
    "Transfer-Encoding",
    "Upgrade",
    //"User-Agent",
    "Via"
};

源码查看:jdk/openjdk/7-b147的HttpURLConnection

     private boolean isRestrictedHeader(String key, String value) {
         if (allowRestrictedHeaders) {
             return false;
         }

         key = key.toLowerCase();
         if (restrictedHeaderSet.contains(key)) {
             /*
              * Exceptions to restricted headers:
              *
              * Allow "Connection: close".
              */
             if (key.equals("connection") && value.equalsIgnoreCase("close")) {
                 return false;
             }
             return true;
         } else if (key.startsWith("sec-")) {
             return true;
         }
         return false;
     }

初始化块:

     static {
         maxRedirects = java.security.AccessController.doPrivileged(
             new sun.security.action.GetIntegerAction(
                 "http.maxRedirects", defaultmaxRedirects)).intValue();
         version = java.security.AccessController.doPrivileged(
                     new sun.security.action.GetPropertyAction("java.version"));
         String agent = java.security.AccessController.doPrivileged(
                     new sun.security.action.GetPropertyAction("http.agent"));
         if (agent == null) {
             agent = "Java/"+version;
         } else {
             agent = agent + " Java/"+version;
         }
         userAgent = agent;
         validateProxy = java.security.AccessController.doPrivileged(
                 new sun.security.action.GetBooleanAction(
                     "http.auth.digest.validateProxy")).booleanValue();
         validateServer = java.security.AccessController.doPrivileged(
                 new sun.security.action.GetBooleanAction(
                     "http.auth.digest.validateServer")).booleanValue();

         enableESBuffer = java.security.AccessController.doPrivileged(
                 new sun.security.action.GetBooleanAction(
                     "sun.net.http.errorstream.enableBuffering")).booleanValue();
         timeout4ESBuffer = java.security.AccessController.doPrivileged(
                 new sun.security.action.GetIntegerAction(
                     "sun.net.http.errorstream.timeout", 300)).intValue();
         if (timeout4ESBuffer <= 0) {
             timeout4ESBuffer = 300; // use the default
         }

         bufSize4ES = java.security.AccessController.doPrivileged(
                 new sun.security.action.GetIntegerAction(
                     "sun.net.http.errorstream.bufferSize", 4096)).intValue();
         if (bufSize4ES <= 0) {
             bufSize4ES = 4096; // use the default
         }
         //是否有设置
         allowRestrictedHeaders = ((Boolean)java.security.AccessController.doPrivileged(
                 new sun.security.action.GetBooleanAction(
                     "sun.net.http.allowRestrictedHeaders"))).booleanValue();
         //没有设置(默认为false),初始化restrictedHeaderSet
         if (!allowRestrictedHeaders) {
             restrictedHeaderSet = new HashSet<String>(restrictedHeaders.length);
             for (int i=0; i < restrictedHeaders.length; i++) {
                 restrictedHeaderSet.add(restrictedHeaders[i].toLowerCase());
             }
         } else {
             restrictedHeaderSet = null;
         }
     }

总结:
1.如果你的客户端请求中含有restrictedHeaders数组中定认的头标识,例如:

Client client = ClientBuilder.newClient();
System.setProperty("sun.net.http.allowRestrictedHeaders", "true");

Response response = client.target(yourUri).path(yourPath).request().
header("Origin", "http://example.com").
header("Access-Control-Request-Method", "POST").
get();

上面的代码中Origin和Access-Control-Request-Method都是,如果不想看到警告,就像代码哪样设置:allowRestrictedHeaders,上面的代码取自:https://jersey.java.net/documentation/latest/client.html#d0e4320 官方的文档很全面的.

HttpUrlConnectorProvider uses HttpUrlConnection as an underlying connection implementation. This JDK class by default restricts the use of following headers:

    Access-Control-Request-Headers
    Access-Control-Request-Method
    Connection (with one exception - Connection header with value Closed is allowed by default)
    Content-Length
    Content-Transfer-Encoding-Host
    Keep-Alive
    Origin
    Trailer
    Transfer-Encoding
    Upgrade
    Via
    all the headers starting with Sec-
The underlying connection can be configured to permit all headers to be sent, however this behaviour can be changed only by setting the system property sun.net.http.allowRestrictedHeaders.

2.全局设置:jvm参数

-Dsun.net.http.allowRestrictedHeaders=true

3.除了默认的HttpURLConnection jersey-client还可以用?Apache Http Client

HttpClient apacheClient = HttpClientBuilder.create().build();
Client client = new Client(new ApacheHttpClient4Handler(apacheClient,
                                                        new BasicCookieStore(),
                                                        true));
WebResource webResource = client.resource("http://localhost:8080/path");
ClientResponse response = webResource.accept("application/json")
                                     .get(ClientResponse.class);

如果服务端基于Https强烈建议使用HttpClient

4.jersey client HttpUrlConnector

街头小贩
关注
专栏目录
postman:提示restricted header(use Postman Interceptor)
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
03-08 1195
使用Postman 发送Cookie、发送user-agent 的请求时,发现无法发送成功, 显示"Restricted Header (use Postman Interceptor)" 提示。意思是Postman拦截器限制了该请求头。 解决 要在Chrome安装"Postman Interceptor"插件,它可以让postman中发送请求的时候使用这个网站的浏览器cookie。 下载后把这个开关打开就行了。 ...
关于 JDK11 HttpClient restricted header name: “xxx“ 异常详解
在路上的博客
11-27 1174
可以看到,17下,重新又放开了部分请求头,虽有小部分请求头默认受限制,但还可以使用如下方式,增加系统参数以完全绕过安全检查,所以,17环境下,可以放心大胆不受限制的拥抱全新 httpClient api。原因是,设计者基于安全考量,在设置请求头时,做了安全检查,且在JDK11版本下并未提供绕过机制,在更高版本下(LTS JDK 17)提供了绕过机制。基于以上,如果你正在使用JDK11,且有设置以上请求头的需求,暂时无解,可以改用 apache 的 httpClient
HttpURLConnection 设置Host 头部无效
彻底拆分,一切可控!
11-17 2345
这个问题的起因是在使用FeignClient 设置header信息的时候无效 @FeignClient(url = "http://localhost:8083", name = "demoClient") public interface FeignTest { @RequestMapping(value = "/hello", method = RequestMethod.GET, headers = "host=www.test.com") String hello(@RequestP
java 代码中设置Origin 请求头
最新发布
yan369369的博客
04-12 805
3.修改成功之后,发现请求到网关的时候获取不到Origin 的值,但是自己额外添加的test 的请求头可以在网关获取到,以为是http 工具问题所以换了fluenthc 工具,但是使用fluent 工具出现了上面第1点的问题,所以还是放弃了,依然使用hutool 工具。5.在本服务提交请求 的时候 重新设置了 Origin,Accpect,Host 等,在网关这边发现了Accpect 的请求头是设置成功了,但是Origin 和Host 设置不成功,终于找到了问题的突破口。
jvm参数造成http请求Read time out
守正出奇
12-06 2589
线上部署的代码,部署在测试环境突然抛出接口请求Read time out的异常。查看线上日志,接口请求正常。重新启动,部署测试环境代码都没有效果,接口还是必现Read time out。直接在测试环境服务器上执行使用curl命令执行http请求,接口正常返回,所以排查网络,第三方服务的原因。解决这类问题,最简单的方法就是抓一个正常的http请求包,抓一个Read time out异常的http请求包,对比两个的报文。但是事与愿违,容器环境禁用tcpdump命令,也就抓不了包。启动本地代码连接测试环境配置
解决Cent0S 6.7直接在/etc/resolv.conf文件下修改DNS地址重启不生效问题
09-15
在Linux系统中,尤其是CentOS 6.7版本,配置网络连接时,有时会遇到一些问题,例如在`/etc/resolv.conf`文件中修改DNS地址后,重启系统或网络服务,这些更改不会生效。这个问题通常与网络服务的管理方式有关,特别是...
sapjco30/sapjco3.dll/sapjco3.jar SAP官网2017/7/18更新版本
01-22
sapjco30 SAP官网2017/7/18更新版本,Windows64位,Linux 64位。 因项目开发SAP RFC接口,使用sapjco3.dll/sapjco3.jar,而网上下载多个版本的sapjco3.dll都提示版本等级太低,最后从SAP官网上下载了2017/7/18更新的...
VIVO清除密码解锁.售后救砖软件包.zip_possibly13j_programrpo_vivo_vivo售后_vivo解锁
07-15
"Possibly13j programrpo"可能指的是软件的一个版本或者特定的修复程序,这通常与厂商的内部更新代码有关,用于指示此软件包的功能或更新日期。 在VIVO手机上,如果用户忘记了屏幕解锁密码,通常可以尝试使用这个...
六年级英语下册 Unit 5 What will I be like教案 牛津版上海版-上海版小学六年级下册英语教案.doc
10-13
【六年级英语下册 Unit 5 What will I be like教案 牛津版上海版】针对小学六年级学生的英语学习,本单元重点在于教授一般将来时态的使用,以及与之相关的词汇、句型和表达方式。以下是详细的知识点解析: 1. **...
Bin_Calc.zip_possibly1sr_tools_zip
09-23
本文将深入探讨“Bin_Calc.zip_possibly1sr_tools_zip”这个压缩包中所包含的“二进制计算器”工具,以及它在二进制计算中的应用。 二进制,也被称为基数2系统,仅使用两个数字0和1来表示数值。在计算机内部,所有...
JVM 参数设置
hua00shao的专栏
10-17 9839
示例为默认值的不需要配置,使用默认设置 JVM参数 参数名称 含义 默认值 示例 说明 -Xms 初始堆大小 物理内存的1/64( -Xms1000M 默认(MinHeapFreeRatio参数可以调整)空余堆内存小于40%时,JVM就会增大堆直到-Xmx的最大限制. -Xmx 最大堆大小 物理内存的1/4( -Xms1000M
java内存分析,参数设置
qq_27164239的博客
07-07 2506
java内存分析,参数设置
请求头没有origin参数_java – RestTemplate没有传递Origin头
weixin_39757893的博客
12-31 1679
有同样的问题,我花了一个世纪来修复.根本原因是来自RestTemplate文档的这一行Note: by default the RestTemplate relies on standard JDK facilities to establish HTTP connections.如果您在Java中检查HttpUrlConnection类的源代码,您将在下面的代码块中找到,并且标头Origin是禁...
JDK的HttpURLConnection调用setRequestProperty失败的原因走查
Feng______的专栏
07-30 8296
首先,把一个android平台在的网络工具
【问题记录】RestTemplate 请求中添加headers项Host不生效
JeenoD的博客
07-29 3740
由于目前的项目中有如下场景:RestTemplate 发送Get请求到一ip,并要求请求头中带上跳转的Host,几经测试,未能走通,一直报的是403错误;而直接通过Postman 发送是没问题的。 RestTemplate template = new RestTemplate(); HttpHeaders headers = new HttpHeaders(); ...
setRequestProperty no longer works from 1.6.0_22?
braveren的专栏
07-21 995
Sun 的 JDK的同学们注意了,从1.6.0_22 版本开始,你会发现setRequestProperty 有些字段会无法设置成功,查看了JDK的源码才知道,原来做了一些限制private static final boolean allowRestrictedHeaders
阿里云短信服务代理的坑
一生一世一双人的博客
10-23 2239
在使用阿里云短信服务的时候,由于要将服务设置在内网供其他服务调用,这就需要用代理去处理短信接口请求,但是阿里官方提供的API就两个jar包,将http请求的具体细节封装起来了,楼主为此很是无奈,然后想到有个可以设置全局代理System.setPropert的方式,这种方式固然可以,但是整合springcloud的eureka之后,发生了非常奇怪的事情,使用代理的时候直接把eureka的心跳给弄死了...
记踩HttpRequest设置header无效导致404问题
mikelv01的博客
07-29 2534
记踩HttpRequest设置header无效导致404问题
(property) Vue.$route: Route Object is possibly 'undefined'
04-01
This warning message is indicating that the Route Object in Vue.js may be undefined in certain cases. To resolve this warning, you can use a conditional statement to check if the Route Object exists before accessing its properties. For example: ```javascript if (this.$route) { // access properties of $route object } ``` Alternatively, you can use the optional chaining operator (`?.`) to safely access properties of the Route Object: ```javascript const routeParams = this.$route?.params; ``` Note that the optional chaining operator is only available in modern browsers and may require a polyfill for older browsers.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值