相关文章推荐
踢足球的黑框眼镜  ·  post重定向之后如何看post的respo ...·  1 月前    · 
正直的凉茶  ·  org.hibernate.exceptio ...·  2 月前    · 
霸气的夕阳  ·  基于TI ...·  8 月前    · 
坏坏的西红柿  ·  Python安装包,官网下载太慢解决方法:淘 ...·  1 年前    · 
仗义的苹果  ·  python中writeline的用法-掘金·  1 年前    · 
Code  ›  tomcat8 url包含|等特殊字符报错400的问题 - 霞光里
https://www.cnblogs.com/loong-hon/p/12036728.html
好帅的草稿本
1 年前

这个问题纠缠了我很久了,终于在今天早上解决了,感谢自己的不放弃和不断尝试的决心,我坚信,我可以找到解决方式!!

项目用的spring 、spring mvc、hibernate框架,关于统一错误页面在开发的过程中就做过编码,并且一直都很有效,像500,404,403等常规错误码都能得到有效处理,

但是400却不行,而且还暴露tomcat的版本信息,这是很严重的安全漏洞.

先按照网上的说法 将tomcat 8的conf路径下的 catalina.properties 文件进行修改,在最后加入一句:tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

允许tomcat接收“{”这样的特殊字符,重启后问题依然没有解决,又修改nginx配置文件也不行。

接着又查询到:

根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类字符,tomcat将直接返回400状态码。

后来有人对此提出了异义,见:    https://bz.apache.org/bugzilla/show_bug.cgi?id=60594

经过一番讨价还价,tomcat的开发人员增加一项设置,允许配置在url可以出现的特殊字符,但也仅限于|,{,}三种,见:http://tomcat.apache.org/tomcat-8.0-doc/config/systemprops.html#Other

该项设置在以下版本的tomcat中有效:

- 8.5.x for 8.5.12 onwards

- 8.0.x for 8.0.42 onwards

- 7.0.x for 7.0.76 onwards

这个只是允许出现一些特殊字符,并没有说是全部特殊字符。

后来终于发现是tomcat的版本问题,好像是tomcat7.9以上的版本,都不支持请求链接上带有特殊字符.否则会报400错误,

tomcat请求中包含特殊字符 [] | {} 发送get请求失败:

这是因为Tomcat严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。传入的参数中有"[]"、"\"不在RFC3986中的保留字段中,所以会报这个错。

400错误的解决方式:

方法一 : 降低tomcat的版本

方法二:  修改server.xml

< Connector port= "8080" protocol= "HTTP/1.1" connectionTimeout= "20000" relaxedQueryChars= "[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" redirectPort= "8443" />

方法三:  修改server.xml

在Host里加入:<Valve className="org.apache.catalina.valves.ErrorReportValve"  showReport="false" showServerInfo="false" />

方法三修改后只会显示出HTTP 400 错误,不会打印堆栈和tomcat版本号信息

关于方法三的解释:

HTTP状态代码提供有关请求的HTTP请求成功完成的信息。 HTTP响应分为五个类,如下所示:

  • 成功的回应
  • 服务器错误

    • 在这里,我们的目的是使用HTTP响应代码处理HTTP请求时生成的错误/异常。您可以从 HTTP状态代码信息中 找到有关HTTP状态代码的更多详细 信息

    错误报告阀 是一个错误处理程序,其处理错误状态代码与错误状态码或异常和服务器信息的信息错误页上相应地重定向用户。

    错误报告阀 用于与Tomcat服务器编写自定义的错误报告处理功能。

    在这里,我们将在Catalina(Tomcat)中创建自定义错误报告阀。 错误报告阀用于报告错误/异常。 因此,如果发生任何错误(例如404,400等),它将处理该错误并为我们提供默认的tomcat页面,如下所示(400错误请求的示例)。

    在此上方,它将为您提供 状态报告信息 (HTTP状态)和 服务器信息 因此,您可以 Tomcat服务器的 conf 使用 server.xml对其 进行 配置

    默认的Catalina错误报告阀门和配置: org.apache.catalina.valves.ErrorReportValve

    现在,添加/更新以下内容以在 <Host> 中的server.xml中进行配置 

    <Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

    现在,使用上述配置,您将发现以下内容。(仅HTTP状态代码)。
    

    注意:同时禁用showServerInfo和showReport只会返回HTTP状态代码,并从默认响应中删除所有CSS。
    

     参考地址:https://aspiresoftware.in/blog/catalinatomcat-custom-error-report-valve-to-handle-errors-exceptions/
     
    推荐文章
    踢足球的黑框眼镜  ·  post重定向之后如何看post的response - CSDN文库
    1 月前
    正直的凉茶  ·  org.hibernate.exception.GenericJDBCException: Cannot open connection - CSDN文库
    2 月前
    霸气的夕阳  ·  基于TI Sitara系列AM5728工业开发板——FPGA视频开发案例分享-腾讯云开发者社区-腾讯云
    8 月前
    坏坏的西红柿  ·  Python安装包,官网下载太慢解决方法:淘宝国内镜像_python 淘宝镜像_Python自动化办公社区的博客-CSDN博客
    1 年前
    仗义的苹果  ·  python中writeline的用法-掘金
    1 年前
    今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
    删除内容请联系邮箱 2879853325@qq.com
    Code - 代码工具平台
    © 2024 ~ 沪ICP备11025650号