2021-10-31 understow url 非法字符没 编
image.png
static {
try {
HTTP = "HTTP/1.".getBytes("ASCII");
HTTP_LENGTH = HTTP.length;
} catch (UnsupportedEncodingException e) {
throw new RuntimeException(e);
}
for(int i = 0; i < 256; ++i) {
if(i < 32 || i > 126) {
ALLOWED_TARGET_CHARACTER[i] = false;
} else {
switch ((char)i) {
case '\"':
case '#':
case '<':
case '>':
case '\\':
case '^':
case '`':
case '{':
case '|':
case '}':
ALLOWED_TARGET_CHARACTER[i] = false;
break;
default:
ALLOWED_TARGET_CHARACTER[i] = true;
}
}
}
}
public static boolean isTargetCharacterAllowed(char c) {
return ALLOWED_TARGET_CHARACTER[c];
}
hangyun
2021年10月31日
http://localhost:3000/some?jn={zhege:12,name:%22feng%22} 前端直接 报400 错误. 在本项目无法下断点.
原来是E:\clojure\luminusweb\undertow\core\src\main\java\io\undertow\server\protocol\http\HttpReadListener.java
的错.
UT000165: Invalid character { in request-target
E:\clojure\luminusweb\undertow\core\src\main\java\io\undertow\UndertowMessages.java
@Message(id = 165, value = "Invalid character %s in request-target")
String invalidCharacterInRequestTarget(char next);
ALLOW_UNESCAPED_CHARACTERS_IN_URL 是否允许 特殊的字符. 一般不要开放. 有注入风险..
当Get请求中包含了未经url编码的字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了。
RFC 3986文档对Url的编解码问题做出了详细的建议,指出了哪些字符需要被编码才不会引起Url语义的转变,以及对为什么这些字符需要编码做出了相应的解释。
RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(! * ' ( ) ; : @ & = + $ , / ? # [ ])。
还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。
空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。
引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用
:通常用于表示书签或者锚点
%:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
{}|^[]`~:某一些网关或者传输代理会篡改这些字符
对于此问题,有以下几种解决方案。
1、切换版本到7.0.73以下,这个不实际。
2、修改Tomcat源码,这个也不实际。
3、前端请求对URL编码。
4、修改Get方法为Post方法。
5、因{}是不安全字符,默认被 tomcat拦截。如果需要在URL中传输json数据,在catalina.properties中添加支持。
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
总结
如果Get请求在合作方,而合作方不愿意修改代码,那1、2种方法可以尝试。如果Get请求在自己,可以尝试3、4种方法。
仅需要在URL上传输json数据,使用第5种方法即可。
private static final String BAD_REQUEST = "HTTP/1.1 400 Bad Request\r\nContent-Length: 0\r\nConnection: close\r\n\r\n";
