最近在开发中发现一个问题,url指定的是后端的一个文件访问目录,格式如下:
/spring_ws/files/users/test
利用@RequestMapping的多层通配符**匹配:
@RequestMapping("/spring_ws/files
}
上述配置初衷是匹配/spring_ws/files/下的所有请求,然后将 /spring_ws/files/ 后面的url作为访问文件目录。正常访问的URL:/spring_ws/files/users/test 没有问题,但是当把URL中文件路径部分的反斜杠(/)用转义字符%2F代替时(/spring_ws/files/users%2Ftest ),发现竟然报了HTTP 400 Bad Request!
按照代码逻辑,转义之后的users%2Ftest 会当做一个整体,/spring_ws/files/**会匹配多层目录,自然就会匹配spring_ws/files/users%2Ftest,但是报错400就很不理解,怀疑可能是Spring内部拦截或者tomcta拦截了。
通过查找相关资料发现,Tomcat的新版本中增加了一个新特性,就是严格按照 RFC 3986规范进行访问解析,而 RFC 3986规范定义了Url中只允许包含英文字母(a-zA-Z)、数字(0-9)、-_.~4个特殊字符以及所有保留字符(RFC3986中指定了以下字符为保留字符:! * ’ ( ) ; : @ & = + $ , / ? # [ ])。
URL常见特殊字符转义| 字符 | URL编码值 |
|---|---|
| 空格 | %20 |
| " | %22 |
| # | %23 |
| % | %25 |
| & | %26 |
| ( | %28 |
| ) | %29 |
| + | %2B |
| , | %2C |
| / | %2F |
| : | %3A |
| ; | %3B |
| < | %3C |
| = | %3D |
| > | %3E |
| ? | %3F |
| @ | %40 |
| %5C | |
| | | %7C |
可以通过配置tomcat允许带%URL,常见的方法有:
- 在tomcat文件目录下的conf/catalina.properties配置文件中配置
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true - 在tomcat的启动参数中加入
-Dorg.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
如果后端引入了Spring Security,则URL中含有特殊字符会报RequestRejectedException,这时候访问会报HTTP 500的错误。
参考资料:
Spring Security Web : StrictHttpFirewall HTTP防火墙(严格模式)
