Tomcat 8 n'est pas en mesure de gérer la requête get avec un '|' dans les paramètres de requête?

Je suis en utilisant Tomcat 8. Dans un cas, j'ai besoin de gérer de demande externe provenant d'une source extérieure où la demande a un des paramètres pour lesquels il est séparé par |.

Demande ressemble à ceci:

http://localhost:8080/app/handleResponse?msg=name|id|

Dans ce cas, je suis d'erreur suivant.

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
    at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:467)
    at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:667)
    at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)
    at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:789)
    at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1455)
    at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
    at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
    at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
    at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
    at java.lang.Thread.run(Thread.java:745)

EDIT 1

Il fonctionne avec Apache Tomcat 8.0.30 mais pas avec Tomcat 8.5

OK, je suppose que vous aurez à y échapper
Avez-vous pris un coup d'oeil en référence à la RFC?

InformationsquelleAutor ashishjmeshram | 2016-12-09

56

Ce comportement est introduit dans toutes les principales versions de Tomcat:
- Tomcat 7.0.73, 8.0.39, 8.5.7
À réparer, effectuez l'une des opérations suivantes:
- ensemble relaxedQueryChars pour permettre à ce personnage
  (recommandé, voir Lincoln répondre)
- ensemble requestTargetAllow option
  (obsolète dans Tomcat 8.5) (voir la réponse de Jérémie).
- vous pouvez revenir à l'une des plus anciennes versions (non recommandé - sécurité)
Basé sur changelog, ces changements pourraient influer sur ce comportement:

Tomcat 8.5.3:

Assurer que les demandes avec la méthode HTTP noms qui ne sont pas des jetons (tel que requis par la norme RFC 7231) sont rejetées avec un 400 de réponse

Tomcat 8.5.7:

Ajouter des vérifications de la validité des caractères de la requête HTTP en ligne de l'analyse afin de requête invalide, les lignes sont rejetés plus tôt.

La meilleure option (standard) - vous souhaitez encoder votre URL sur le client:
```
encodeURI("http://localhost:8080/app/handleResponse?msg=name|id|")
> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C
```
ou tout simplement de la chaîne de requête:
```
encodeURIComponent("msg=name|id|")
> msg%3Dname%7Cid%7C
```
Elle s'assure de vous à partir d'autres problématiques caractères (liste des URI non valide caractères).
- Merci, j'ai juste déclassé mon apache-tomcat-8.5.11 à apache-tomcat-8.0.30 et cela a fonctionné comme un charme.
- Je ne recommande pas de déclassement tomcat comme les dernières versions de tomcat tous les CVE correctifs qui pourraient avoir une incidence sur votre déclassé versions déjà. Codage des paramètres d'URI serait un correctif ou à l'aide de relaxedQueryChars - Dans le long terme, n'importe où dans le code qui utilise réservé RFC 3986 de caractères doit être remaniée.
- Il semble relaxedQueryChars est encore modifiable uniquement. Est-il la bonne solution fourni par Apache?
InformationsquelleAutor Piotr Lewandowski
47

Depuis Tomcat 7.0.76, 8.0.42, 8.5.12 vous pouvez définir la propriété requestTargetAllow pour permettre interdit de faire des personnages.

Ajouter cette ligne dans votre catalina.properties
```
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
```
- De tomcat 8.5 à partir de # AVERTISSEMENT: l'Utilisation de cette option peut exposer le serveur à CVE-2016-6816 #tomcat.util.http.analyseur.HttpParser.requestTargetAllow=|
InformationsquelleAutor Jérémie Lesage
11

Le paramètre tomcat.util.http.parser.HttpParser.requestTargetAllow est obsolète depuis Tomcat 8.5: tomcat officiel doc.

Vous pouvez utiliser relaxedQueryChars /relaxedPathChars dans les connecteurs de la définition de permettre à ces caractères: tomcat officiel doc.
- 8,5 j'ai essayé et n'ai pas eu le moindre effet. La meilleure option est de toujours encoder vos url.
InformationsquelleAutor Lincoln
9

Question:
Tomcat (7.0.88) est en train de jeter ci-dessous exception qui conduit à 400 Bad Request.
```
java.lang.IllegalArgumentException: Invalid character found in the request target. 
The valid characters are defined in RFC 7230 and RFC 3986.
```
Ce problème se produit la plupart des versions de tomcat à partir de 7.0.88 partir.

Solution: (Suggéré par l'équipe Apache):

Tomcat augmenté leur sécurité et ne permet plus cru crochets dans la chaîne de requête. Dans la demande, nous avons [,] (crochets) de sorte que la demande n'est pas traitée par le serveur.

Ajouter relaxedQueryChars en vertu de l'attribut de balise en vertu de server.xml (%TOMCAT_HOME%/conf):
```
<Connector port="80" 
           protocol="HTTP/1.1"
           maxThreads="150"
           connectionTimeout="20000"
           redirectPort="443"
           compression="on"
           compressionMinSize="2048"
           noCompressionUserAgents="gozilla, traviata"
           compressableMimeType="text/html,text/xml"
                                     relaxedQueryChars="[,]"
             />
```
Si l'application a besoin de plus de caractères spéciaux ne sont pas pris en charge par tomcat par défaut, puis ajouter les caractères spéciaux dans relaxedQueryChars attribut séparés par des virgules, comme ci-dessus.
- Fonctionne pour moi plus tard tomcat 8 pour DHIS2 ,parce que cela aide quelqu'un !!!
InformationsquelleAutor rama krishna chinna reddy
5

L'URI est codé en UTF-8, mais Tomcat est le décodage comme ISO-8859-1. Vous avez besoin de modifier les paramètres du connecteur dans le server.xml et ajouter le URIEncoding="UTF-8" attribut.

ou de modifier ce paramètre sur votre application.propriétés

serveur.tomcat.uri-encoding=utf-8
- URIEncoding attribut sur le <Connecteur> élément server.xml à quelque chose de spécifique (par exemple, URIEncoding="UTF-8") (wiki.apache.org/tomcat/FAQ/CharacterEncoding)
InformationsquelleAutor Omid Nazerizadeh
3

Échapper. La pipe est celui qui a été traitée différemment dans le temps et entre les navigateurs. Par exemple, le Chrome et Firefox convertir une URL avec tuyau différemment lorsque les copier/coller. Cependant, le plus compatible, et nécessaire avec Tomcat 8.5 il semble, est de s'en échapper:

http://localhost:8080/app/handleResponse?msg=name%7Cid%7C

InformationsquelleAutor Dan Armstrong

Vous devez vous connecter pour publier un commentaire.