tomcat - IIS ARR：禁用或覆盖转发请求中附加的“X-Original-URL”HTTP 标头

问题描述

当 IIS 将大型搜索请求 URL（通过 ARR URL 重写）转发到在 Tomcat 上运行的搜索 API（在后端使用 Solr）时，我们遇到了一个问题，并且 Tomcat 立即以 400 - Bad Request 错误拒绝该请求。

完整的Tomcat响应：

HTTP/1.1 400 错误请求
服务器：Apache-Coyote/1.1
日期：2019 年 9 月 12 日星期四 00:17:39 GMT
内容长度：0
连接：关闭

URL 的大小/长度不是问题，而是因为 IIS 在将请求转发到 Tomcat 时将原始 URL 包含在 X-Original-URL 标头中，甚至不是该标头中 URL 的长度，而是X-Original-URL 标头中导致 Tomcat 拒绝请求的查询字符串参数之一的部分内容。

我尝试将 maxHttpHeaderSize 属性添加到 Tomcat 的配置 XML 中的连接器，如下所示：

<连接器端口="9090" 协议="HTTP/1.1" connectionTimeout="20000" maxHttpHeaderSize="65536" redirectPort="9490" />

但是增加最大标头大小没有任何效果。

我已经验证 IIS/ARR 没有在 X-Original-URL 标头中解码/重新编码（或以其他方式修改 URL），方法是通过 Fiddler 代理来自 IIS 的请求并检查转发的请求来捕获请求。

通过 Fiddler 代理 IIS 转发的请求，我可以从请求中删除 X-Original-URL（通过自定义 Fiddler 规则脚本），然后 Tomcat 接受请求并处理它，并且响应通过 IIS 转发回没有问题。

我们已设法将查询字符串参数的内容（“fq”指定在 Solr 中的索引“path”方面字段上进行搜索）隔离为可能的罪魁祸首，因为如果我们通过删除该参数中的路径值来缩短路径的最后一部分，则请求不会被拒绝。不幸的是，修剪路径不是一种选择，因为它被用作搜索查询的一部分，以返回包含在特定路径中的搜索结果。

以下是导致 400 错误（作为 X-Original-URL 标头的一部分包含时）的路径值的示例（对长度感到抱歉）：

fq=path%3A(%22%5C%22TestOTIF%5C%22%5C-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8%5C%2FJT69U0lEqVrKKrlbKA0qGpBaX%5C%2BId4ugEFS5G5tbG1AATZhNNEAAAA%3B%5C%22Documents%5C%22%5C-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8%5C%2FJT69U0lEqVrKKrlbKA0qGpBaX%5C%2BId4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOHaWgCTIarwcQAAAA %3D%3D%3B%5C%22Luisa%5C%22%5C-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8%5C%2FJT69U0lEqVrKKrlbKA0qGpBaX%5C%2BId4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOFaHaU0uJE%5C%2BpZnFiUADagGOHHHLhQAAAA%3D%3D%3B%5C%22Council%5C%22%5C-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8%5C %2FJT69U0lEqVrKKrlbKA0qGpBaX%5C%2BId4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOFaHaU0uJE%5C%2BpZnFiUAhCM85vzQvOTMHaGAtADfvIOmVAAAA%3B%5C%22Meetings%5C%22%5C-H4sIAAAAAAAAAE2MvQrCMBRGX6V8c6aOWRWLoDiYTTqUeG0D8V5pcgcpeXcDlep4zvezIMO2Bh4W3Sz6ahz5iSXK%5C%2BIZBgr0t4Bo6Svnijocq9R9LbxBh19JevD6Jc%5C%2Fq2rtMw07356WLw2C5PGtJQ1Uo7UfYhbnwmyoHHuunLBzthuwemAAAA%3B%5C%22EC_161017_ECOE%5C%22%5C-H4sIAAAAAAAAAE2NwQoCIQBEf2WZs4fsUODVLIJiD3mLWBazXcE0Vj3E4r8nbFjH92aYmRHB1gQKDIfJp1cjtRqdt354gyCAXWe4EkodYiuP%5C%2ByLTP%5C%2BYbgQVbSjuv0lO7GL6ty9hP%5C%2Bt78dCZ41MlTMqEvaiHuk1PGVj5rHY0bQhWCd3RDV3TbCd6Kcpw%5C%2Fq6GCkr0AAAA%3D%3B%5C%22LP%5C%22%5C- H4sIAAAAAAAAAE2OQQvCIACF%5C%2F8p4Zw%5C%2BtQ4FXswgWC%5C%2FIWMYbZJpjG1EMM%5C%2F3vCwjp%5C%2B33s83owAuiaQoDhMLr4qoeRonXHDGwQe9DrD5lAoH1px3GcZ%5C%2FzHdCAzoUto5GZ%5C%2FKBv9tXcZ%5C%2BUvfqpxPBo0w2Ufs%5C%2Bq4WYi1ZqU%5C%2FikVNB28EVw1tWbelVvO85aXnRzzh%5C%2FSB6kO1JTIAAAA%3B%5C% 22Revised+FEED+Phase+2+Docs+and+additional+docs+%5C-+not+to+print%5C%22%5C-H4sIAAAAAAAAAE2PwQrCMAyGXyXkPMF5UOh1VhGUDd1NREpbt8JMZW0FGXt3O5TqLd%5C%2BXn%5C%2FxkQI9skaFEhtvehgfUWrZkO9u8MEOH7DwgxWWtnS%5C%2Fr3SbK8I%5C%2FjJcMO2Se0tjLcNXn3TZ1a0WsFPz1meEsn98E4EdWHChtImi7xQWtvqHFJ8OKaL%5C%2FN5vrryouRJ76s0HvXTuNi34XwNVSuchsVU7kCQAqGU8caS6EBNbgZkPXgLj96Qj4%5C%2BMb0LvykANAQAA%3B%5C%22Control+Systems+and+Instrumentation%5C%22%5C-H4sIAAAAAAAAAE2PQWvDMAyF%5C%2F4rQOYWlhw5yTd1R6GhpcxujmNhrDK5cLHlQSv77nGV4vel9kp70HijYLCvsscG3GNINOtsPFHy43LFCxubjgZSbnWXZd9tNhulZjp8VemzmoXXo09WS8N%5C%2FUadDRGvjHY4VfxXKXHOuMZtWGRL3zRb9bK44uXIBqz%5C%2FWqfqlfz6rdq4J3h1Ie7bfjfG%5C%2Bj1BoOg2YLy%5C%2Bk4gyYD2hgnLpD2YCa2AAoCEuAWHcnTHyQxeDjdWex1Xt0SS% 5C%2FyNoCeHHHr8AUaYBdM5AQAA%3B%5C%22Cause+and+Effect+Diagram%5C%22%5C-H4sIAAAAAAAAAE2QwWrDMBBEf2XZswt1Din4aislkJLQ%5C%2BFZKELJsC%5C%2BRVkFaFEPzvleui5KZ5O5pZ6Y6M1aZAhRW%5C%2Bexev0Go1krNuuGGBAauvO1Iatjrwsd3vEozPcv4u0GK1mhqn4qSJw7%5C%2FrPEqvO3jgucA%5C%2BRx6iCTKhVdUukjI26w%5C%2Bt2dAQMhD1pdyWr%5C% 2BXbRdRHkfHhlI%5C%2Bf%5C%2BseE1LcTooHTKIOGzVIeQFIHsusMG0fSQrewFyDHwA6u3hA%5C%2F7UHsnYXzLbCe1qt7Cuz%5C%2FniCXhIdXxtSxOETfa8XQGDl4OaVfmX8BphIoiFoBAAA%3D%22)

上面的编码查询字符串值包含正斜杠、转义引号（如 \"，但编码为 %5C%22）、唯一路径文件夹 ID 和其他内容。

以上解码：

fq=path:("\"TestOTIF\"\-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8\/JT69U0lEqVrKKrlbKA0qGpBaX\+Id4ugEFS5G5tbG1AATZhNNEAAAA;\"Documents\"\-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8\/JT69U0lEqVrKKrlbKA0qGpBaX\+Id4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOHaWgCTIarwcQAAAA==;\"Luisa\"\-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8\/JT69U0lEqVrKKrlbKA0qGpBaX\+Id4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOFaHaU0uJE\+pZnFiUADagGOHHHLhQAAAA==;\"Council\"\-H4sIAAAAAAAAAKtWKlGyMtJRSlayUnIvyi8tUAhJTc7Iy8\/JT69U0lEqVrKKrlbKA0qGpBaX\+Id4ugEFS5G5tbE6SjlKVhBFLvnJpbmpeSXFUFXBGYlFqSkKCOFaHaU0uJE\+pZnFiUAhCM85vzQvOTMHaGAtADfvIOmVAAAA;\"Meetings\"\-H4sIAAAAAAAAAE2MvQrCMBRGX6V8c6aOWRWLoDiYTTqUeG0D8V5pcgcpeXcDlep4zvezIMO2Bh4W3Sz6ahz5iSXK\+IZBgr0t4Bo6Svnijocq9R9LbxBh19JevD6Jc\/q2rtMw07356WLw2C5PGtJQ1Uo7UfYhbnwmyoHHuunLBzthuwemAAAA;\"EC_161017_ECOE\"\-H4sIAAAAAAAAAE2NwQoCIQBEf2WZs4fsUODVLIJiD3mLWBazXcE0Vj3E4r8nbFjH92aYmRHB1gQKDIfJp1cjtRqdt354gyCAXWe4EkodYiuP\+yLTP\+YbgQVbSjuv0lO7GL6ty9hP\+t78dCZ41MlTMqEvaiHuk1PGVj5rHY0bQhWCd3RDV3TbCd6Kcpw\/q6GCkr0AAAA=;\"LP\"\-H4sIAAAAAAAAAE2OQQvCIACF\/8p4Zw\+tQ4FXswgWC\/IWMYbZJpjG1EMM\/3vCwjp\+33s83owAuiaQoDhMLr4qoeRonXHDGwQe9DrD5lAoH1px3GcZ\/zHdCAzoUto5GZ\/KBv9tXcZ\+UvfqpxPBo0w2Ufs\+q4WYi1ZqU\/ikVNB28EVw1tWbelVvO85aXnRzzh\/SB6kO1JTIAAAA;\"Revised+FEED+Phase+2+Docs+and+additional+docs+\-+not+to+print\"\-H4sIAAAAAAAAAE2PwQrCMAyGXyXkPMF5UOh1VhGUDd1NREpbt8JMZW0FGXt3O5TqLd\+Xn\/xkQI9skaFEhtvehgfUWrZkO9u8MEOH7DwgxWWtnS\/r3SbK8I\/jJcMO2Se0tjLcNXn3TZ1a0WsFPz1meEsn98E4EdWHChtImi7xQWtvqHFJ8OKaL\/N5vrryouRJ76s0HvXTuNi34XwNVSuchsVU7kCQAqGU8caS6EBNbgZkPXgLj96Qj4\+Mb0LvykANAQAA;\"Control+Systems+and+Instrumentation\"\-H4sIAAAAAAAAAE2PQWvDMAyF\/4rQOYWlhw5yTd1R6GhpcxujmNhrDK5cLHlQSv77nGV4vel9kp70HijYLCvsscG3GNINOtsPFHy43LFCxubjgZSbnWXZd9tNhulZjp8VemzmoXXo09WS8N\/UadDRGvjHY4VfxXKXHOuMZtWGRL3zRb9bK44uXIBqz\/Wqfqlfz6rdq4J3h1Ie7bfjfG\+j1BoOg2YLy\+k4gyYD2hgnLpD2YCa2AAoCEuAWHcnTHyQxeDjdWex1Xt0SS\/yNoCeHHHr8AUaYBdM5AQAA;\"Cause+and+Effect+Diagram\"\-H4sIAAAAAAAAAE2QwWrDMBBEf2XZswt1Din4aislkJLQ\+FZKELJsC\+RVkFaFEPzvleui5KZ5O5pZ6Y6M1aZAhRW\+exev0Go1krNuuGGBAauvO1Iatjrwsd3vEozPcv4u0GK1mhqn4qSJw7\/rPEqvO3jgucA\+Rx6iCTKhVdUukjI26w\+t2dAQMhD1pdyWr\+XbRdRHkfHhlI\+f\+seE1LcTooHTKIOGzVIeQFIHsusMG0fSQrewFyDHwA6u3hA\/7UHsnYXzLbCe1qt7Cuz\/niCXhIdXxtSxOETfa8XQGDl4OaVfmX8BphIoiFoBAAA=")

我的问题是：

1. 当上面的任何编码信息作为值包含在 HTTP 标头中时，或者更具体地说，当包含在 X-Original-URL 标头中时，Tomcat 是否会出于某种原因（除了长度之外）拒绝任何编码信息？

2. 我尝试在 IIS URL Rewrite 中重写 HTTP_X_ORIGINAL_URL 服务器变量，但它不起作用，因为 IIS 在处理重写规则之后附加了该标头。有没有其他方法可以禁用在 IIS 或 ARR 中包含该特定标头？或者至少能够覆盖/重写该标头中的值？

3. 对于 Tomcat，我已经查看了所有可能与请求和/或标头大小/长度相关的配置设置，除了“maxHttpHeaderSize”之外没有发现任何可能对防止请求拒绝有任何影响的东西。是否有其他设置可以更改以允许 Tomcat 接受请求？

抱歉，这里的帖子太长了！:)

非常感谢有关此问题的任何其他信息或建议或可能的解决方案！谢谢！

标签： tomcatiishttp-headersurl-rewrite-modulearr