【linux】tomcat新版本特性引发的url问题

通过我们的测试，在tomcat7.0.73版本以上都会出现下列描述的问题。

1、测试报错：

Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

        at org.apache.coyote.http11.InternalInputBuffer.parseRequestLine(InternalInputBuffer.java:192)

        at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1028)

        at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637)

        at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:316)

        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)

        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)

        at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)

        at java.lang.Thread.run(Thread.java:745)

2、通过抓包看出，当get请求为：

http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}

会出现这种报错，因为升级tomcat后有一些字符（例如“{，}“），当他们直接放在Url中的时候，可能会引起解析程序的歧义

Tomcat8.5，当Get请求中包含了未经编码的非法字符时，会报以下错误，请求未到应用程序在Tomcat层就被拦截了。

经过测试，paphone控件和老版本的APP SDK请求时都会报此错

Tomcat报错：

java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986

会返回400错误。

3、经查询，Tomcat7.0.73就已经添加了RFC 3986这个规范。

RFC 3986文档规定，Url中只允许包含英文字母（a-zA-Z）、数字（0-9）、-_.~4个特殊字符以及所有保留字符（! * ’ ( ) ; : @ & = + $ , / ? # [ ]）。

还有一些字符当直接放在Url中的时候，可能会引起解析程序的歧义，这些字符被视为不安全字符。

？空格：Url在传输的过程，或者用户在排版的过程，或者文本处理程序在处理Url的过程，都有可能引入无关紧要的空格，或者将那些有意义的空格给去掉。

？引号以及<>：引号和尖括号通常用于在普通文本中起到分隔Url的作用

？#：通常用于表示书签或者锚点

？%：百分号本身用作对不安全字符进行编码时使用的特殊字符，因此本身需要编码

？{}|\^[]`~：某一些网关或者传输代理会篡改这些字符

4、对于此问题，有以下几种解决方案。

1）切换版本到低版本。（不可用）

2）修改Tomcat源码。（不可用）

3）前端请求对URL编码。

4）修改Get方法为Post方法。

5）因{ }是不安全字符，默认被 tomcat拦截。如果需要在URL中传输json数据，在catalina.properties中添加支持。

5、以下是尝试结果：

1）尝试上报服务请求修改catalina.properties文件配置

添加tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}

测试结果：

IE浏览器还是有相同报错，如果请求里面只含有 { 、}不再报错，但是“仍然无法被识别，因此json无法被识别

改为tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}”

会显示 “是不允许的字符“

Google浏览器不会报错

2）使用HttpGet模拟发送get形式的json请求

测试结果：并没有到tomcat层面，控制台直接报错：

Illegal character in query at index 61: http://localhost:8080/sma-scm/interface.do?req={"hard":"FD89C82352A9B0940BC5C86D9F1E36DF4F8E70382D265975","channel":"ADDB1A3E0F6EDA9AE89B542B977107C0A25B1EE205A42BE1"}

使用这种方式只要包含{、}、”都不允许发送请求（根本没到tomcat层面）

3）使用HttpPost模拟发送post形式的json请求

测试结果：无报错

4）尝试在使用HttpGet模拟发送get形式的json请求的时候将请求转义，例如：

buf.append("req="+URLEncoder.encode(json, "utf-8"));

测试结果：无报错

5）尝试在服务接收的doGet方法里面转义

测试结果：无效果，请求未到应用程序在Tomcat层就被拦截了。