IE访问页面400报错,其他浏览器可正常访问

IE访问页面400报错,其他浏览器可正常访问问题介绍:背景:由于爆出Tomcat低版本内容中,存在WebSocket漏洞。因此安排Tomcat升级,本次升级到是Tomcat7.0.106。问题:升级Tomcat服务器后,原有的所有含有中文链接在IE浏览器请求均报错HTTP-400,在谷歌chrome、360极速浏览器(极速模式)下均可正常访问。报错日志:十一月23,202010:41:46上午org.apache.coyote.http11.AbstractHttp11Proce…

大家好,又见面了,我是你们的朋友全栈君。

问题介绍:

背景:由于爆出Tomcat低版本内容中,存在Web Socket漏洞。因此安排Tomcat升级,本次升级到是Tomcat7.0.106。

问题:升级Tomcat服务器后,原有的所有含有中文链接在IE浏览器请求均报错HTTP-400,在谷歌chrome、360极速浏览器(极速模式)下均可正常访问。

                   IE访问页面400报错,其他浏览器可正常访问

报错日志:

十一月 23, 2020 10:41:46 上午 org.apache.coyote.http11.AbstractHttp11Processor process
信息: 解析 HTTP 请求 header 错误注意:HTTP请求解析错误的进一步发生将记录在DEBUG级别。
java.lang.IllegalArgumentException: 在请求目标中找到无效字符。有效字符在RFC 7230和RFC 3986中定义
	at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:213)
	at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1108)
	at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:654)
	at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:319)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:745)

在参照网上调整Tomcat的server.xml,在Connector中加入

relaxedPathChars="|{}[],%" relaxedQueryChars="|{}[],%"

后并没有用,原本的连接设置也是支持UTF-8的,修改后配置:

<Connector port="8080" protocol="HTTP/1.1"
               maxThreads="1000" enableLookups="false" acceptCount="1000"
               connectionTimeout="30000" redirectPort="8444"
      	       disableUploadTimeout="true" URIEncoding="UTF-8" relaxedPathChars="|{}[],%:" relaxedQueryChars=":[]|{}^&#x5c;&#x60;&quot;&lt;&gt;" useBodyEncodingForURI="true"/>

还是没有办法解决IE的访问出错。

解决办法:

1、调整IE的设置:Internet选项-高级-按图中勾选即可。(临时解决方案,所有用户都得改,改完还要重启….)

IE访问页面400报错,其他浏览器可正常访问

2、添加编码和解码(推荐解决方案,建议大家写代码还是参考规范,不要有中文类型的链接)

      1.js编码encodeURI(encodeURI(URL)),编码两次
      2.服务器端解码 URLDecoder.decode(request.getParameter(“para”),”UTF-8″)

3、降低Tomcat版本(治标不治本,而且本次就是为了修复安全漏洞对tomcat进行升级)

原因:

      IE6-IE11(Edge 不存在,可能修改了编码方案) 中文会被IE使用iso-8859-1编码 编码后的中文字符串带反斜杠,这是RFC文档中规定的不安全字符,Tomcat在高版本中增加的安全验证,凡是RFC 3986中非URL可携带的字符,都会返回400错误

涉及到的TOMCAT版本

  • 7.0.69+
  • 8.0.39+
  • 8.5.7

附 RFC 3986文档关于特殊字符的定义

  • RFC3986文档规定,Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、(-_.~)4个特殊字符以及所有保留字符。

  • RFC3986中指定了以下字符为保留字符:
    ! * ‘ ( ) ; : @ & = + $ , / ? # [ ]

  • 以下为不安全字符

  • 空格 Url在传输的过程,或者用户在排版的过程,或者文本处理程序在处理Url的过程,都有可能引入无关紧要的空格,或者将那些有意义的空格给去掉

  • 引号以及<> 引号和尖括号通常用于在普通文本中起到分隔Url的作用

  • 通常用于表示书签或者锚点

  • % 百分号本身用作对不安全字符进行编码时使用的特殊字符,因此本身需要编码

  • {}|^[]`~ 某一些网关或者传输代理会篡改这些字符

 

参考链接:

1、https://www.cnblogs.com/mrmoo/p/9637924.html

2、https://blog.csdn.net/guanfengliang1988/article/details/73321358/

3、http://blog.sina.com.cn/s/blog_711ab1b10102x0v4.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/136713.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号