关于Cookie中不过滤“=”号的方法

最新推荐文章于 2022-08-30 16:10:54 发布
原创 最新推荐文章于 2022-08-30 16:10:54 发布 · 571 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细介绍了在使用Tomcat时遇到的Cookie截断问题,特别是当Cookie值包含特殊字符如=时,如何通过修改catalina.properties文件中的设置来解决此问题,确保能够完整获取Cookie值。
当用cookie.getValue()方法获取Cookie的值时,结果遇到"="号时就会自动截断,后面的值就取不到了。这是因为tomcat中的Cookie信息默认是不允许有特殊字符的,所以有特殊字符时就会取不到。这时你可以在tomcat中的conf文件夹下的catalina.properties文件中添加如下代码:
org.apache.tomcat.util.http.ServerCookie.ALLOW_EQUALS_IN_VALUE=true
当添加这段代码后,你会发现你用cookie.getValue()就可以取到包含"="的cookie的值了。


----------------------------------------------------------------------

Tomcat truncating cookies with = values

Starting with Tomcat 6.0.18 and in Tomcat 7.x any cookie containing a “=” will be truncated. Where you would expect your cookie to hold all values, e.g. “value1=myname&value2=password” you will only be able to retrieve the “value1=”.

This is because Tomcat now adheres to the cookie spec more tightly than previous versions. If you are in control of the cookie you might be able to change it and work around this. If not, then you can can change the settings within the catalina.properties file by appending the following two settings:

org.apache.tomcat.util.http.ServerCookie.ALLOW_EQUALS_IN_VALUE=true
org.apache.tomcat.util.http.ServerCookie.ALLOW_HTTP_SEPARATORS_IN_V0=true
z25765339
关注
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍...
php判断文件上传类型及过滤安全数据的方法
10-25
在PHP中,处理文件上传和过滤安全数据是网站安全的重要环节。文件上传可以为用户提供交互性,但也可能成为恶意攻击的入口。本篇文章将详细讲解如何使用PHP判断文件上传的类型以及过滤安全的数据。 首先,判断...
COOKIE值中包括等
dingoohuang的博客
02-10 668
系统中有一些值使用BASE64编码后存储在COOKIE中,当编码后的字符串最后有一个或者两个等(=)时,使用Request.getCookies().getValue()会丢失等,再BASE64解码时产生错误. https://issues.apache.org/bugzilla/show_bug.cgi?id=44679,可以看到这个链接里面的讨论. 里面提到: org.apache....
php get安全过滤,php 有效安全过滤get,posd,cookie_PHP教程
weixin_42398730的博客
03-11 243
php 有效安全过滤get,posd,cookiephp 有效安全过滤get,posd,cookiesession_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN);if($_REQUEST){if(MAGIC_QUOTES_GPC){$_REQUEST = new_stripslashes($_REQUEST);if($_COOKIE) $_COO...
Java】Spring boot 返回字段为null值被过滤
zhh763984017的博客
07-12 4037
最近因项目需要,从零开始重新搭建了一套框架给同事们用。在前后端对接的时候,发现后端提供的字段缺少了很多,即实体类为null值的字段,全部被过滤了。经排查,是fastjson的锅。 因为fastjson默认就把value为null的值给过滤输出空值。...
tomcat中接受请求中的cookie值若含有等,等后内容会丢失
chongxungu8275的博客
07-31 846
问题: 使用tomcat时,若某个cookie的值中含有等,则从request.getCookies()再getValue()后会丢失等之后的内容,例如:若cookie为ninfo=id=123&name=zhangshan;ntime=20150731,则从reques...
基于Cookie使用过滤器实现客户每次访问只登录一次
10-19
基于Cookie使用过滤器实现客户每次访问只登录一次主要涉及到Web开发中的两个重要概念:Cookie过滤器。这篇文档详细讲解了如何结合这两个概念实现一个功能,即用户登录一次后,在会话期间内的每次访问都需要重新...
php中$_GET与$_POST过滤sql注入的方法
01-21
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考。具体分析如下: 此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了。 主要实现代码如下: 复制代码 代码如下:...
struts2用cookie实现自动登录中用过滤器执行读取上下文方法
08-11
在这个过滤器的`doFilter`方法中,我们可以检查请求是否带有自动登录相关的Cookie。如果找到该Cookie,就从Cookie中解析出用户信息,并将其设置到Servlet上下文或者ActionContext中,这样后续的Action就能获取到用户...
解决Cookie特殊字符问题
weixin_43381041的博客
05-08 710
修改tomcat下conf文件的catalina.properties文件信息 在最后加上 org.apache.tomcat.util.http.ServerCookie.ALLOW_EQUALS_IN_VALUE=true
Cookie中字符串分隔问题
kobejayandy的专栏
12-22 1万+
加密的cookie信息中带有特殊字符(“=”),导致读cookie的时候,特殊符丢失,解密失败 看了网上对cookie特殊字符问题的解释: 我们在实际使用Cookie过程中要注意一些问题:   1. Cookie的兼容性问题   Cookie的格式有2个同的版本,第一个版本,我们称为Cookie Version 0,是最初由Netscape公司制定的,也被几乎所
让tomcat支持中文cookie
weixin_33882452的博客
01-29 251
这的确是一个正常的需求,按照规范,开发者需要将cookie进行编码,因为tomcat支持中文cookie。 但有时候,你面对这样的情况,比如请求是由他人开发的软件,比如,浏览器控件发出的。 这个时候就需要修改tomcat源码来支持了。 直接上源码 /* * Licensed to the Apache Software Foundation (ASF) under one...
javascript使用cookie
一道风景
05-22 1417
cookie概述在上一 节,曾经利用一个变的框架来存储购物栏数据,而商品显示页面是断变化的,尽管这样能达到一个模拟全局变量的功能,但并严谨。例如在导航框架页面内右 击,单击快捷菜单中的【刷新】命令,则所有的JavaScript变量都会丢失。因此,要实现严格的跨页面全局变量,这种方式是行的, JavaScript中的另一个机制:cookie,则可以达到真正全局变量的要求。cookie是浏览器
cookie值中包含等、空格、分等特殊字符的处理
热门推荐
jfkidear的专栏
09-01 1万+
cookie值中包含等、空格、分等特殊字符的处理 博客分类:  php javascript 编码cookie  当cookie中包含有等、空格、分等特殊字符时,可能会导致数据丢失、或者能解析的错误,一个较好的解决办法就是:在将cookie值写入客户端浏览器之前,首先进行URLEncode编码,读取cookie时,进行URLDecode即可。  
日常踩坑中遇到的cookie问题: 跨域,特殊字符
Wu_Shang001的博客
12-19 2816
这篇文章主要用于记录自己平时遇到的cookie相关的问题. 如跨域设置cookie, cookie特殊字符被截断, 中文cookie导致报错. 文章目录跨域设置cookiecookie 包含特殊字符导致被截断cookie 中有中文导致后端报错 跨域设置cookie 这个场景一般是在账打通中会遇到,两个系统使用同一个账体系,但是同的域名。登陆一个系统的时候自动登陆到另一个系统。例如在 a.com 下同时把 cookie 设置到 b.com 下。 一般的处理方式是:在登陆完成之后,返回另一个域的setCo
Java获取Cookie特殊字符处理
gotobar的专栏
07-13 4247
今天在工作中遇到一个问题,用request对象getCookies的时候,发现如果Cookie的value里面带有一些特殊字符,是会在request中就被过滤,从而缺失特殊字符后面的内容。 去查了一下,是因为RFC规范中规定了Cookie允许带有一些特殊字符, 例如这一串:{ '\t', ' ', '\"', '(', ')', ',', ':', ';', '', '=', '>', 
tomcat中LegacyCookieProcessor/Rfc6265CookieProcessor一个有双引,一个domain能加“.“,终极解决方案
隔壁老易的博客
08-30 1218
Rfc6265CookieProcessor实现了rfc6265相关的http cookie的规范,使用了更严格的字符和domain校验cookie的合法性为什么一定要使用加'.'的方式来设置cookie,因为规范是一个事情,现实是另外一个事情,现实是你无法知道你的用户使用的浏览器是什么年代的,是否符合最新的http规范,如果符合的话,是需要通过设置domain加'.'的方式允许子域名访问主域名的cookie的。......
Tomcat 在处理 Cookie 的时候的几个小坑
dengweilan的博客
12-21 3470
今天在代码中调用 HttpServletRequest 对象的 getCookies() 方法时,发现实际得到的 Cookie 数量与提交的符。实际提交了 17 个 Cookie,但是获取到的只有 14 个。 经过排查,发现如果调用 getHeaders(“Cookie”) 方法,获取原始的 Cookie 串,是可以拿到正确的 17 个 Cookie 组成的字符串的。于是确认应该是 Tom...
set-cookie中的Domain=qqqq.com;有什么作用,会导致该条cookie过滤
最新发布
04-29
<think>好的,我现在要解决用户关于OkHttp3中Cookie的Domain属性以及如何设置宽松策略的问题。首先,我需要回顾之前提供的引用内容,确保回答准确。 用户的问题主要分为两部分:set-cookie中的Domain属性作用及其是否会导致cookie过滤,以及在OkHttpClient中如何设置宽松的Cookie策略。根据之前的引用,特别是引用[3]和引用[4],用户可能在使用OkHttp3时遇到了Cookie因Domain匹配而被过滤的情况,想要了解原因和解决方法。 首先,Domain属性的作用。根据HTTP标准,Domain属性指定了哪些主机可以接收Cookie。如果未指定,默认是当前主机,包含子域名。例如,如果Domain设置为qqqq.com,那么Cookie会被发送到qqqq.com及其子域名如a.qqqq.com。但OkHttp3在处理Cookie时会严格检查Domain是否匹配请求的URL,如果匹配,Cookie会被过滤。这可能导致用户遇到Cookie未被正确发送的问题。 接下来,用户想知道如何设置宽松策略。根据之前的回答,OkHttp3通过CookieJar接口管理Cookie,没有直接暴露CookiePolicy,但可以通过自定义CookieJar来实现宽松策略。引用[1]提到使用CookieManager和CookiePolicy.ACCEPT_ALL,但这是针对OkHttp旧版本的,OkHttp3需要使用同的方法。 用户提供的引用中提到,可以通过自定义CookieStore和CookieManager来持久化Cookie,并设置CookiePolicy。但OkHttp3使用CookieJar,因此需要实现自定义的CookieJar,覆盖saveFromResponse和loadForRequest方法,在loadForRequest时绕过Domain验证。例如,在loadForRequest中强制设置Cookie的Domain为当前请求的host,或者忽略Domain检查,直接返回所有存储的Cookie。 此外,引用[4]指出,Cookie默认绑定到特定host,跨域需要手动处理。用户可能需要允许跨域发送Cookie,因此需要在自定义CookieJar中处理Domain属性,使其匹配同的host。 需要注意的安全问题,宽松策略可能导致安全风险,如CSRF攻击或Cookie泄露,但用户可能只是在测试环境中需要临时解决方案。因此,在回答中需要提到这些风险,并建议生产环境中使用严格策略。 最后,根据用户提供的代码示例,可能需要展示如何实现自定义CookieJar,覆盖Domain验证,并允许跨域发送Cookie。同时,验证方法部分需要指导用户如何测试Cookie是否被正确发送,例如通过日志检查请求头中的Cookie信息。 总结步骤:解释Domain属性的作用,说明OkHttp3默认的严格策略导致Cookie过滤,展示如何通过自定义CookieJar实现宽松策略,包括修改Domain和Secure标志,最后提醒安全风险和测试方法。</think>--- ### 一、`Domain`属性的核心作用与过滤机制 1. **HTTP协议规范定义** `Domain`属性用于指定Cookie生效的域名范围,格式要求为: - 必须包含前置点(如`.qqqq.com`表示所有子域名) - 未显式设置时默认绑定请求的host(如`api.qqqq.com`的Cookie仅在该host生效)[^1] 2. **OkHttp3的严格校验规则** ```java // OkHttp源码中的Domain匹配验证逻辑 public boolean matches(HttpUrl url) { // 校验请求host是否与Cookie.domain匹配(区分大小写) return HttpUrl.domainMatch(cookie.domain, url.host()); } ``` - **过滤场景**:当请求的host满足`Domain`范围时,Cookie会被自动丢弃[^2] - **示例**:Cookie的Domain为`.qqqq.com`时,`a.qqqq.com`可携带,但`qqqq.org`会被过滤 --- ### 二、OkHttp3中实现宽松策略的实践方案 #### 步骤1:创建自定义`CookieJar` ```kotlin class LenientCookieJar : CookieJar { private val cookieStore = mutableMapOf<String, List<Cookie>>() override fun saveFromResponse(url: HttpUrl, cookies: List<Cookie>) { // 强制保存所有Cookie(无论Domain是否匹配) cookieStore[url.host] = cookies.map { it.newBuilder().domain(url.host).build() // 覆盖原始Domain为当前host } } override fun loadForRequest(url: HttpUrl): List<Cookie> { // 返回所有存储的Cookie(忽略Domain验证) return cookieStore.values.flatten().map { it.newBuilder().domain(url.host).build() // 动态修改Domain匹配当前请求 } } } ``` #### 步骤2:配置OkHttpClient ```kotlin val okHttpClient = OkHttpClient.Builder() .cookieJar(LenientCookieJar()) .build() ``` #### 关键参数控制表 | 限制类型 | 宽松策略实现方式 | 风险说明 | |----------------|------------------------------------|--------------------------| | Domain匹配 | 动态覆盖Cookie.domain为请求host | 可能导致跨域安全问题[^3] | | Path匹配 | 返回所有Path的Cookie | 资源访问越权风险 | | Secure标记 | 修改Cookie.secure=false | HTTP传输中暴露敏感数据[^4]| --- ### 三、Domain属性过滤问题的验证方法 1. **跨子域名测试** ```kotlin // 向同子域名发送请求 val request1 = Request.Builder().url("https://api.qqqq.com/login").build() val request2 = Request.Builder().url("https://shop.qqqq.com/data").build() okHttpClient.newCall(request1).execute().close() // 保存Cookie okHttpClient.newCall(request2).execute().use { println("携带Cookie: ${it.request.headers["Cookie"]}") } ``` 2. **Domain格式验证** ```kotlin // 观察Cookie的Domain值变化 cookieJar.cookieStore.forEach { (host, cookies) -> cookies.forEach { println("存储Cookie: ${it.name} 原始Domain=${it.domain} 修改后Domain=$host") } } ``` --- ### 四、生产环境注意事项 1. **安全加固建议** ```gradle // 使用安全库进行Cookie加密 implementation "androidx.security:security-crypto:1.1.0-alpha06" ``` 2. **动态策略切换** ```kotlin // 根据BuildConfig区分环境 if (BuildConfig.DEBUG) { client.cookieJar = LenientCookieJar() } else { client.cookieJar = PersistentCookieJar() } ``` --- ### 五、高级场景解决方案 1. **强制跨域共享Cookie** ```kotlin // 在Interceptor中手动添加Cookie okHttpClient.addInterceptor { chain -> val request = chain.request() .newBuilder() .header("Cookie", "session_id=xxxx; domain=qqqq.com") .build() chain.proceed(request) } ``` 2. **Domain通配符处理** ```kotlin // 修改Domain为通配格式 fun Cookie.toWildcardDomain(): Cookie { return this.newBuilder() .domain(if (!domain.startsWith(".")) ".$domain" else domain) .build() } ``` --- [^1]: RFC 6265规定Domain属性必须以点开头实现子域名覆盖 : OkHttp3源码中Cookie的匹配算法区分精确域名和通配域名 [^3]: OWASP建议严格限制跨域Cookie以防止CSRF攻击 [^4]: Android 9及以上强制要求HTTPS通信时Secure标记为true
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值