问题场景
之前运行在 Tomcat 7 中的 Web 项目,当把 Tomcat 从 7 升级到 8.x 及更高版本后,用户登录失败,后台报异常:
1 | java.lang.IllegalArgumentException: An invalid character [xx] was present in the Cookie value |
规范变化
Tomcat 8.x( or later)版本进了很多改进,其中的 Cookie 处理也升级到 RFC6265 规范,这可能导致在 Tomcat 8 以前版本中运行无问题的Web项目在 Tomcat 8 中报下面错误:
java.lang.IllegalArgumentException: An invalid character [34] was present in the Cookie value
上面的 [34] 中的 34 是指 ASCII 码(十进制)对应的字符 “(双引号)。那么在不明确知道 RFC6265 规范中 Cookie 值可用的字符时,可能在 Cookie 值使用其他字符也会出现上面的问题。
那么下面就来看看到底哪些字符时不可用的。
查看源码
1 | private void validateCookieValue(String value) { |
通过上面这段源码分析出 RFC6265 规范中 Cookie 值不可用的字符串,见下表:
十进制 | 十六进制 | 缩写/字符 | 解释 |
---|---|---|---|
34 | 0x22 | “ | 双引号 |
44 | 0x2C | , | 逗号 |
59 | 0x3B | ; | 分号 |
92 | 0x5C | \ | 反斜杠 |
127 | 0x7f | DEL (delete) | 删除(控制字符) |
< 33 | < 0x21 | 略 | 控制字符/通信专用字符/空格 |
问题原因
Tomcat 8 更换默认的 CookieProcessor 实现为 Rfc6265CookieProcessor ,之前的实现为 LegacyCookieProcessor 。前者是基于 RFC6265 ,而后者基于 RFC6265、RFC2109、RFC2616 。
解决方式
独立的 Tomcat
修改配置文件 context.xml ,指定 CookieProcessor 为 org.apache.tomcat.util.http.LegacyCookieProcessor,具体配置如下:
1 | <Context> |
SpringBoot 内嵌 Tomcat 的解决方式
在 springboot 启动类中增加内嵌 Tomcat 的配置 Bean,如下代码:
1 |
|
参考资料: