Tomcat 8 无法在查询参数中使用“|”来处理 get 请求？

java tomcat tomcat8 tomcat8.5

2022-08-31 13:25:59

我正在使用Tomcat 8。在一种情况下，我需要处理来自外部源的外部请求，其中请求具有由.|

请求如下所示：

http://localhost:8080/app/handleResponse?msg=name|id|

在这种情况下，我收到以下错误。

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)

编辑 1

它适用于Apache Tomcat 8.0.30，但不适用于Tomcat 8.5。

答案 1

此行为在所有主要的 Tomcat 版本中都引入：

雄猫 7.0.73， 8.0.39， 8.5.7

要修复此问题，请执行下列操作之一：

设置为允许此字符（推荐，请参阅林肯的答案relaxedQueryChars)
set option （在 Tomcat 8.5 中已弃用）（参见 Jérémie 的答案）。requestTargetAllow
您可以降级到旧版本之一（不推荐 - 安全性）

根据更改日志，这些更改可能会影响以下行为：

雄猫 8.5.3：

确保拒绝具有非令牌的 HTTP 方法名称的请求（如 RFC 7231 要求）和 400 响应

雄猫 8.5.7：

向 HTTP 请求行解析中添加对有效字符的其他检查，以便更快地拒绝无效请求行。

最佳选项（遵循标准） - 您希望在客户端上对 URL 进行编码：

encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

或者只是查询字符串：

encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C

它将保护您免受其他有问题的字符（无效URI字符列表）的侵害。

答案 2

从 Tomcat 7.0.76、8.0.42、8.5.12 开始，您可以定义属性请求TargetAllow以允许禁止字符。

将此行添加到catalina.properties

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}