我有一个运行 Java servlet 的 Tomcat 服务器。我正在尝试制作一个 servlet,它返回存储的文件,给定它们的加密 ID。
ID:100
加密 ID:+e4/E5cR/aM=
URL 编码 ID:%2Be4%2FE5cR%2FaM%3D
结果网址:http://localhost/file/demo/%2Be4%2FE5cR%2FaM%3D
当我尝试点击该链接时,我什至没有进入我的 servlet 代码 - 服务器返回此错误:加载资源失败:服务器响应状态为 400(错误请求)强>
这个 URL 有什么问题导致 Tomcat 在到达我的代码之前拒绝它?我通过 URL 编码器运行它,但我没有看到任何无效字符。
【问题讨论】:
您在网址中编码了斜线“/”。由于潜在的攻击,Apache 不允许使用它们。有设置允许他们:
System.setProperty("org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH", "true");
或
-Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
查看类似的post。
【讨论】:
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true添加到conf/catalina.properties,这可能是最好的方法。
您可能遇到以下两个问题之一:
1) 您的 URL 中没有包含端口。要么你已经将 Tomcat 端口配置为 80 端口,在这种情况下不需要该端口,要么你需要包含端口,默认为 8080,例如:
http://localhost:8080/file/demo/%2Be4%2FE5cR%2FaM%3D
2) 您将加密的 ID 添加为 URL 本身的一部分,这必须在您的 URL 映射中映射到某种 Servlet/JSP/View 并且不太可能。 Tomcat 不会识别唯一 ID 并知道调用相应的处理程序来处理映射。假设您打算调用映射到 '/file/demo' 的 servlet/JSP/controller,您更可能希望将 ID 作为请求参数传递,例如:
http://localhost:8080/file/demo?id=%2Be4%2FE5cR%2FaM%3D
【讨论】: