开发避坑指南(23):Tomcat高版本URL特殊字符限制问题解决方案(RFC 7230 RFC 3986)

异常信息

java 复制代码
java.lang.IllegalArgumentException: 在请求目标中找到无效字符[/order/show?orderType=01&orderTitle=0xe50x8f0xa30xe50xb20xb80xe50x8a0xa80xe60x800x81&pageNum=1 ]。有效字符在RFC 7230和RFC 3986中定义
	org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:497)
	org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:492)
	org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:63)
	org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:934)
	org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1698)
	org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:52)
	org.apache.tomcat.util.threads.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1191)
	org.apache.tomcat.util.threads.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:659)
	org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	java.lang.Thread.run(Thread.java:748)

异常分析

这个错误通常出现在Tomcat服务器处理HTTP请求时,当请求URL或参数中包含不符合RFC 7230和RFC 3986规范的字符时抛出。主要问题原因有:

1、请求中包含未编码的中文字符

2、URL参数包含特殊符号(如[]{}等)

3、高版本Tomcat(8.5+)对URL字符校验更严格

本次异常就是因为URL中的orderTitle参数包含未编码的中文字符导致的。

解决办法

方案1

1、在tomcat安装路径中conf/catalina.properties文件中最后添加如下一行:

properties 复制代码
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}[],%

tomcat.util.http.parser.HttpParser.requestTargetAllow 是Tomcat高版本(8.5+)中用于放宽HTTP请求目标字符限制的关键配置参数,主要作用是允许特定特殊字符通过校验和解决Invalid character found in request target错误。默认情况下,Tomcat会严格遵循RFC 7230和RFC 3986规范,拒绝包含{}[]|\等特殊字符的请求。通过该参数可显式声明允许的字符集。

有的博客还建议加上org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true配置配合使用,该配置用于控制URL编码斜杠处理行为的关键系统属性。当设置为true时,Tomcat会允许URL中包含%2F(/的编码形式)和%5C(\的编码形式)的请求通过校验,默认情况下Tomcat会拒绝此类请求并返回400错误。而%2F容易导致安全性问题,所以建议保持默认不要开启。

2、在tomcat安装路径中conf/server.xml中的Connector节点中添加relaxedPathChars属性和relaxedQueryChars属性放宽URL字符校验:

xml 复制代码
<Connector 
    relaxedPathChars="|{}[],%" 
    relaxedQueryChars="|{}[],%"
    URIEncoding="UTF-8"/>

添加的2个属性用来接收任意特殊字符的组合,特殊符号包括但不限于:|{}[],%等。

relaxedPathChars‌用于指定URL路径部分(/path/to/resource)允许的特殊字符集,默认仅支持RFC规范的安全字符。通过配置可允许{}[]|等符号出现在路径中。

relaxedQueryChars‌用于控制查询字符串(?key=value&...)中的合法字符范围,常用于处理JSON参数或含特殊符号的GET请求。

注意:过度放宽字符限制可能引发安全攻击,建议仅对必要字符放行。

方案2

1、对URL中的中文参数进行编码后再传参。编码String encodedOrderTitle = URLEncoder.encode(orderTitle, "UTF-8");解码java.net.URLDecoder.decode(encodedOrderTitle,"UTF-8");

2、在tomcat安装路径中conf/server.xml中的Connector节点中增加URIEncoding="UTF-8"。强制Tomcat在处理GET请求的URL参数(路径和查询字符串)时使用UTF-8解码,解决中文等非ASCII字符的乱码问题。

相关推荐
slim~2 分钟前
Java基础第9天总结(可变参数、Collections、斗地主)
java·开发语言
豆沙沙包?33 分钟前
2025年- H118-Lc86. 分隔链表(链表)--Java版
java·数据结构·链表
A尘埃1 小时前
智能工单路由系统(Java)
java·开发语言·智能工单
失散132 小时前
分布式专题——1.1 Redis单机、主从、哨兵、集群部署
java·数据库·redis·分布式·架构
刘一说2 小时前
Linux调试命令速查:Java/微服务必备
java·linux·微服务
IT·陈寒2 小时前
怎么这么多 StringUtils —— Apache、Spring、Hutool 全面对比
java·spring·apache
AAA修煤气灶刘哥3 小时前
MySQL 查文本查哭了?来唠唠 ES 这货:从 “啥是 ES” 到 Java 撸代码,一篇整明白!
java·后端·elasticsearch
金銀銅鐵3 小时前
[Java] 浅析密封类(Sealed Classes) 在 class 文件中是如何实现的
java·后端
Hello.Reader3 小时前
一文通关 Proto3完整语法与工程实践
java·linux·数据库·proto3
DashingGuy3 小时前
算法(keep learning)
java·数据结构·算法