通過這里的回答,我們可以知道:
Tomcat在 7.0.73, 8.0.39, 8.5.7 版本后,添加了對於http頭的驗證。
具體來說,就是添加了些規則去限制HTTP頭的規范性
參考這里
具體來說:
org.apache.tomcat.util.http.parser.HttpParser#IS_NOT_REQUEST_TARGET[]中定義了一堆not request target
if(IS_CONTROL[i] || i > 127 || i == 32 || i == 34 || i == 35 || i == 60 || i == 62 || i == 92 || i == 94 || i == 96 || i == 123 || i == 124 || i == 125) { IS_NOT_REQUEST_TARGET[i] = true; }轉換過來就是以下字符(對應10進制ASCII看):
- 鍵盤上那些控制鍵:(
<32或者=127) - 非英文字符(
>127) 空格(32)雙引號(34)#(35)<(60)>(62)反斜杠(92)^(94)TAB上面那個鍵,我也不曉得嫩個讀(96){(123)}(124)|(125)
解決辦法:
還是參考這里
即:
配置tomcat的catalina.properties
添加或者修改:
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
當然還有另外一種方法,就是將所有的參數都進行
編碼