后端生成的URL中含base64参数值,经tomcat重定向后偶发前端无法解密报错

现象

最近定位到一个有意思的bug,后端生成的URL中包含base64参数值后,经过tomcat重定向后,偶发出现前端无法解密的现象。

原因

当出现问题时,经排查发现重定向的Location响应头中把+转成了 英文空格,导致解密失败。

重定向时如果特殊字符未经URLEncode转义,则tomcat会把+转换成英文空格。

处理方案

方案1、对Base64参数值进行UrlEncode。推荐

此方案会将所有特殊符号替换成%数字字母格式,如%2B,最后一个字母大小写不敏感。

Java代码:

java 复制代码
String plainText = "hello>";
String encodedText = Base64.getEncoder().encodeToString(plainText.getBytes(StandardCharsets.UTF_8));
String urlEncodedText = URLEncoder.encode(url, StandardCharsets.UTF_8.toString());

response.sendRedirect("http://127.0.0.1:8080/test?encode=" + urlEncodedText); //http://127.0.0.1:8080/test?encode=aGVsbG8%2B

JavaScript代码:

js 复制代码
const encode = 'aGVsbG8%2B'
const decode = atob(decodeURIComponent(encode))
console.log(decode) //hello>

方案2、Base64使用UrlEncoder进行加密。需前端配合

基于2006年的RFC规范:RFC4648 URL安全字符串替换(+替换成-/替换成_),需要前端配合

Java代码:

java 复制代码
String plainText = "hello>";
String encodedText = Base64.getUrlEncoder().encodeToString(plainText.getBytes(StandardCharsets.UTF_8));

response.sendRedirect("http://127.0.0.1:8080/test?encode=" + encodedText); //http://127.0.0.1:8080/test?encode=aGVsbG8-

JavaScript代码:

js 复制代码
//写法1:替换回-为+,_为/,补全=,使用atob()完成base64解密
const encodeText = 'aGVsbG8-'
let encode = encodeText.replace(/-/g, '+')
                       .replace(/_/g, '/')
                       .padEnd(encodeText.length + (4 - encodeText.length % 4) % 4, '=');

const result = atob(decodeURIComponent(encode))
console.log(result)


//写法2:使用TextDecoder解密
<script src="https://unpkg.com/base64-js/base64js.min.js"></script>
<script>
function decodeBase64Url(base64UrlString) {
    // 需补全结尾=号,TextDecoder内部处理过替换
    const base64 = base64UrlString
        .padEnd(base64UrlString.length + (4 - base64UrlString.length % 4) % 4, '=');
    
    // 解码支持
    const byteArray = base64js.toByteArray(base64);
    return new TextDecoder().decode(byteArray);
}
console.log(decodeBase64Url('aGVsbG8-'))
</script>

方案3、调整tomcat配置

不推荐,可自行搜索。

相关推荐
kyriewen5 小时前
Anthropic 估值逼近万亿美元,Claude Sonnet 5 + Claude Science 一天两连发
前端·ai编程·claude
小徐_23336 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
天蓝色的鱼鱼8 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷9 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花9 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷9 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜9 小时前
Spring Boot 核心知识点总结
前端
lichenyang4539 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕10 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js