问题:当请求URL包含特殊字符时,Tomcat会自动拦截并返回400状态码页面,暴露了tomcat的版本信息,这是很严重的安全漏洞。
java.lang.IllegalArgumentException: 在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义
解决办法:
- 屏蔽打印的异常和Tomcat版本信息,在Tomcat -> conf -> server.xml中加入如下配置:
xml
`<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />`再次请求就只会打印一个标题了,屏蔽了重要信息。
- 重定向到自定义的400_error.html页面,在Tomcat -> conf -> server.xml中加入如下配置:
xml
<Valve className="org.apache.catalina.valves.ErrorReportValve" errorCode.400="webapps/ROOT/400_error.html"/>在webapps -> ROOT项目下新建一个自定义的HTML页面,例如我的是400_error.html
再次请求就会重定向到你的自定义页面了。
参考大佬的文章链接:
tomcat8 url包含|等特殊字符报错400的问题
tomcat9 400错误无法跳转