- 1web漏洞-渗透测试-数据包参数类型-网页请求方法-数据包内容-字符型、JSON型参数注入测试-POST数据注入测试-COOKIE数据注入测试-HTTP头数据注入测试-附SQLi-LABS靶场题解_渗透原码
- 2adb远程连接手机,提示异常拒绝处理办法_甲壳虫adb连接被拒绝5555
- 3电脑快速切换窗口_提升工作效率的十大电脑快捷键,你爱学不学
- 4以栅格为中心的自动驾驶交通场景感知综述_ogm视觉
- 5经典的7种排序算法 原理C++实现_c++排序大小
- 6关于基础组件的开发与基础架构的搭建_基础组件层
- 7鸿蒙通过键值型数据库实现数据持久化_鸿蒙开发 键值对数据持久化
- 8微信小程序获取openid、sessionKey及授权获取手机号码等信息_微信登录前后端根据openid 手机号
- 9Android程序一个因requestPermission导致不停onResume(不停打印Timeline: Activity_launch_request time)的问题_华为手机onresume()方法中调用 requestpermissions,无限循环
- 10荣耀V9系统升级:新增3D创意拍功能
Java工程报错:java.lang.IllegalArgumentException: Invalid character found in the request target.
赞
踩
1、错误信息
七月 19, 2023 10:30:18 上午 org.apache.coyote.http11.Http11Processor service
信息: Error parsing HTTP request header
Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986
at org.apache.coyote.http11.Http11InputBuffer.parseRequestLine(Http11InputBuffer.java:479)
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:684)
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66) at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:806)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1498)
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
错误本质:高版本tomcat中的新特性:就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。
问题请求如:http://localhost:8080/test.do?stu_id=[{......}]
2、常见错误场景及解决办法
2.1、常见错误场景
【原因1:请求的数据带有[]等相关违规字符】
大部分都说是新的标准中,请求不支持“{}”,但是把大括号转义之后还是出现同样的问题,后来把中括号转义后就可以了。找到问题的原因了:由于json中带有“[]”,请求会被tomcat拦截。
【原因2:向后端发送的数据格式问题】
本质还是格式的问题,还是请求中包含了[]的问题。
如:我们通过异步请求向后端发送数据的时候,将整个节点都发送到了后端。
案例如:test.do?stu_name=document.getElementById(“id1”);
浏览器信息报错信息如下:
2.2、常见解决办法
【解决办法1】
可以使用低版本的tomcat解决该问题—不推荐使用。
【解决办法2】
如果使用高版本的tomcat
则需要再tomcat的config文件下的catalina.properties中加上一句
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
如果这样还不行的话,在config下的server.xml文件中添加relaxedQueryChars="[,]",就可以解决这个问题了.
- <Connector port="8080" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="8443" relaxedQueryChars="[,]"/>
修改后重启服务器。
【解决办法3】
get请求信息会在地址栏中显示,我们可以发送post请求,post请求信息不回出现在地址栏中。
【解决办法4】
如果是springboot工程可以创建一个配置类解决问题
- @Configuration
- public class TomcatCharsConfig {
- @Bean
- public TomcatServletWebServerFactory webServerFactory() {
- TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
- factory.addConnectorCustomizers((Connector connector) -> {
- connector.setProperty("relaxedPathChars", "\"<>[\\]^`{|}");
- connector.setProperty("relaxedQueryChars", "\"<>[\\]^`{|}");
- });
- return factory;
- }
- }
【解决办法5】
在tomcat的conf/catalina.properties中最后添加2行:
第一句话表示只放行|{}[]五个非法字符
- tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}[]
- org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
【解决办法6】
不能发送整个节点只能发送结果test.do?stu_name=document.getElementById(“id1”).value
