通过我们的测试,在tomcat7.0.73版本以上都会出现下列描述的问题。
1、测试报错:
Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:192)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1028)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637)
at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:316)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
2、通过抓包看出,当get请求为:
http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}
会出现这种报错,因为升级tomcat后有一些字符(例如“{,}“),当他们直接放在Url中的时候,可能会引起解析程序的歧义
Tomcat8.5,当Get请求中包含了未经编码的非法字符时,会报以下错误,请求未到应用程序在Tomcat层就被拦截了。
经过测试,paphone控件和老版本的APP SDK请求时都会报此错
Tomcat报错:
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
会返回400错误。
3、经查询,Tomcat7.0.73就已经添加了RFC 3986这个规范。
RFC 3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(! * ’ ( ) ; : @ & = + $ , / ? # [ ])。
还有一些字符当直接放在Url中的时候,可能会引起解析程序的歧义,这些字符被视为不安全字符。
?空格:Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉。
?引号以及<>:引号和尖括号通常用于在普通文本中起到分隔Url的作用
?#:通常用于表示书签或者锚点
?%:百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码
?{}|\^[]`~:某一些网关或者传输代理会篡改这些字符
4、对于此问题,有以下几种解决方案。
1)切换版本到低版本。(不可用)
2)修改Tomcat源码。(不可用)
3)前端请求对URL编码。
4)修改Get方法为Post方法。
5)因{ }是不安全字符,默认被 tomcat拦截。如果需要在URL中传输json数据,在catalina.properties中添加支持。
5、以下是尝试结果:
1)尝试上报服务请求修改catalina.properties文件配置
添加tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
测试结果:
IE浏览器还是有相同报错,如果请求里面只含有 { 、}不再报错,但是“仍然无法被识别,因此json无法被识别
改为tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}”
会显示 “是不允许的字符“
Google浏览器不会报错
2)使用HttpGet模拟发送get形式的json请求
测试结果:并没有到tomcat层面,控制台直接报错:
Illegal character in query at index 61: http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}
使用这种方式只要包含{、}、”都不允许发送请求(根本没到tomcat层面)
3)使用HttpPost模拟发送post形式的json请求
测试结果:无报错
4)尝试在使用HttpGet模拟发送get形式的json请求的时候将请求转义,例如:
buf.append("req="+URLEncoder.encode(json, "utf-8"));
测试结果:无报错
5)尝试在服务接收的doGet方法里面转义
测试结果:无效果,请求未到应用程序在Tomcat层就被拦截了。