大家好,又见面了,我是你们的朋友全栈君。
问题介绍:
背景:由于爆出Tomcat低版本内容中,存在Web Socket漏洞。因此安排Tomcat升级,本次升级到是Tomcat7.0.106。
问题:升级Tomcat服务器后,原有的所有含有中文链接在IE浏览器请求均报错HTTP-400,在谷歌chrome、360极速浏览器(极速模式)下均可正常访问。
报错日志:
十一月 23, 2020 10:41:46 上午 org.apache.coyote.http11.AbstractHttp11Processor process
信息: 解析 HTTP 请求 header 错误注意:HTTP请求解析错误的进一步发生将记录在DEBUG级别。
java.lang.IllegalArgumentException: 在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义
at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:213)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1108)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:654)
at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:319)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
在参照网上调整Tomcat的server.xml,在Connector中加入
relaxedPathChars="|{}[],%" relaxedQueryChars="|{}[],%"后并没有用,原本的连接设置也是支持UTF-8的,修改后配置:
<Connector port="8080" protocol="HTTP/1.1"
maxThreads="1000" enableLookups="false" acceptCount="1000"
connectionTimeout="30000" redirectPort="8444"
disableUploadTimeout="true" URIEncoding="UTF-8" relaxedPathChars="|{}[],%:" relaxedQueryChars=":[]|{}^\`"<>" useBodyEncodingForURI="true"/>还是没有办法解决IE的访问出错。
解决办法:
1、调整IE的设置:Internet选项-高级-按图中勾选即可。(临时解决方案,所有用户都得改,改完还要重启….)
2、添加编码和解码(推荐解决方案,建议大家写代码还是参考规范,不要有中文类型的链接)
1.js编码encodeURI(encodeURI(URL)),编码两次
2.服务器端解码 URLDecoder.decode(request.getParameter(“para”),”UTF-8″)
3、降低Tomcat版本(治标不治本,而且本次就是为了修复安全漏洞对tomcat进行升级)
原因:
IE6-IE11(Edge 不存在,可能修改了编码方案) 中文会被IE使用iso-8859-1编码 编码后的中文字符串带反斜杠,这是RFC文档中规定的不安全字符,Tomcat在高版本中增加的安全验证,凡是RFC 3986中非URL可携带的字符,都会返回400错误
涉及到的TOMCAT版本
- 7.0.69+
- 8.0.39+
- 8.5.7
附 RFC 3986文档关于特殊字符的定义
-
RFC3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、(-_.~)4个特殊字符以及所有保留字符。
-
RFC3986中指定了以下字符为保留字符:
! * ‘ ( ) ; : @ & = + $ , / ? # [ ] -
以下为不安全字符
-
空格 Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉
-
引号以及<> 引号和尖括号通常用于在普通文本中起到分隔Url的作用
-
通常用于表示书签或者锚点
-
% 百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
-
{}|^[]`~ 某一些网关或者传输代理会篡改这些字符
参考链接:
1、https://www.cnblogs.com/mrmoo/p/9637924.html
2、https://blog.csdn.net/guanfengliang1988/article/details/73321358/
3、http://blog.sina.com.cn/s/blog_711ab1b10102x0v4.html
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/136713.html原文链接:https://javaforall.net
