开发避坑指南(23):Tomcat高版本URL特殊字符限制问题解决方案(RFC 7230 RFC 3986)

异常信息

java 复制代码
java.lang.IllegalArgumentException: 在请求目标中找到无效字符[/order/show?orderType=01&orderTitle=0xe50x8f0xa30xe50xb20xb80xe50x8a0xa80xe60x800x81&pageNum=1 ]。有效字符在RFC 7230和RFC 3986中定义
	org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:497)
	org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:492)
	org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:63)
	org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:934)
	org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1698)
	org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:52)
	org.apache.tomcat.util.threads.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1191)
	org.apache.tomcat.util.threads.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:659)
	org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	java.lang.Thread.run(Thread.java:748)

异常分析

这个错误通常出现在Tomcat服务器处理HTTP请求时,当请求URL或参数中包含不符合RFC 7230和RFC 3986规范的字符时抛出。主要问题原因有:

1、请求中包含未编码的中文字符

2、URL参数包含特殊符号(如[]{}等)

3、高版本Tomcat(8.5+)对URL字符校验更严格

本次异常就是因为URL中的orderTitle参数包含未编码的中文字符导致的。

解决办法

方案1

1、在tomcat安装路径中conf/catalina.properties文件中最后添加如下一行:

properties 复制代码
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}[],%

tomcat.util.http.parser.HttpParser.requestTargetAllow 是Tomcat高版本(8.5+)中用于放宽HTTP请求目标字符限制的关键配置参数,主要作用是允许特定特殊字符通过校验和解决Invalid character found in request target错误。默认情况下,Tomcat会严格遵循RFC 7230和RFC 3986规范,拒绝包含{}[]|\等特殊字符的请求。通过该参数可显式声明允许的字符集。

有的博客还建议加上org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true配置配合使用,该配置用于控制URL编码斜杠处理行为的关键系统属性。当设置为true时,Tomcat会允许URL中包含%2F(/的编码形式)和%5C(\的编码形式)的请求通过校验,默认情况下Tomcat会拒绝此类请求并返回400错误。而%2F容易导致安全性问题,所以建议保持默认不要开启。

2、在tomcat安装路径中conf/server.xml中的Connector节点中添加relaxedPathChars属性和relaxedQueryChars属性放宽URL字符校验:

xml 复制代码
<Connector 
    relaxedPathChars="|{}[],%" 
    relaxedQueryChars="|{}[],%"
    URIEncoding="UTF-8"/>

添加的2个属性用来接收任意特殊字符的组合,特殊符号包括但不限于:|{}[],%等。

relaxedPathChars‌用于指定URL路径部分(/path/to/resource)允许的特殊字符集,默认仅支持RFC规范的安全字符。通过配置可允许{}[]|等符号出现在路径中。

relaxedQueryChars‌用于控制查询字符串(?key=value&...)中的合法字符范围,常用于处理JSON参数或含特殊符号的GET请求。

注意:过度放宽字符限制可能引发安全攻击,建议仅对必要字符放行。

方案2

1、对URL中的中文参数进行编码后再传参。编码String encodedOrderTitle = URLEncoder.encode(orderTitle, "UTF-8");解码java.net.URLDecoder.decode(encodedOrderTitle,"UTF-8");

2、在tomcat安装路径中conf/server.xml中的Connector节点中增加URIEncoding="UTF-8"。强制Tomcat在处理GET请求的URL参数(路径和查询字符串)时使用UTF-8解码,解决中文等非ASCII字符的乱码问题。

相关推荐
青云交1 天前
Java 大视界 -- Java 大数据在智能公交调度优化与准点率提升中的应用实践(416)
java·动态规划·flink cep·spark mllib·智能公交调度·杭州公交案例·准点率提升
RainbowSea1 天前
4. ChatClient 的初始,快速使用上手
java·spring·ai编程
RainbowSea1 天前
3. Ollama 安装,流式输出,多模态,思考模型
java·spring·ai编程
沧澜sincerely1 天前
Redis 键空间 & 五大类型
java·redis·docker
235161 天前
【LeetCode】3. 无重复字符的最长子串
java·后端·算法·leetcode·职场和发展
nandao1581 天前
springBoot 集成Neo4j 实战演示
java·spring boot·neo4j
零雲1 天前
java面试:可以讲一讲sychronized和ReentrantLock的异同点吗
java·开发语言·面试
没有bug.的程序员1 天前
SQL 执行计划解析:从 EXPLAIN 到性能优化的完整指南
java·数据库·sql·性能优化·explain·执行计划
微笑尅乐1 天前
神奇的位运算——力扣136.只出现一次的数字
java·算法·leetcode·职场和发展
Chan161 天前
【 设计模式 | 结构型模式 代理模式 】
java·spring boot·后端·设计模式·intellij-idea