在所有主要的Tomcat版本中都引入了此行为:
- Tomcat的 7.0.73 , 8.0.39 , 8.5.7
要解决此问题,请执行以下一项操作:
- 设置
relaxedQueryChars
为允许使用此字符 - set
requestTargetAllow
选项(在Tomcat 8.5中已弃用)。 - 您可以降级到较旧的版本之一(不推荐-安全)
基于changelog,这些更改可能会影响此行为:
Tomcat 8.5.3:
确保使用非令牌的HTTP方法名称的请求(RFC 7231要求)被拒绝,并带有400响应
Tomcat 8.5.7:
将其他对有效字符的检查添加到HTTP请求行解析中,以便更快地拒绝无效的请求行。
最好的选择(遵循标准) -您想在客户端上对URL进行编码:
enpreURI("http://localhost:8080/app/handleResponse?msg=name|id|")> http://localhost:8080/app/handleResponse?msg=name%7Cid%7C或只是查询字符串:
enpreURIComponent("msg=name|id|")> msg%3Dname%7Cid%7C它将保护您免受其他有问题的字符(无效URI字符列表)的侵害
