tomcat将404状态更改为403以进行http删除

时间:2014-04-15 23:35:35

标签: java tomcat servlets

我有一个奇怪的问题,如果我的servlet发送200 ok http状态,它按预期工作,并且客户端按预期获得200状态。但是,如果我的servlet返回404状态,tomcat似乎将其更改为403状态。如果我使用http get方法,则不会发生这种情况。我还没有测试putpost

我想清楚地知道我的servlet doDelete方法执行得很好。只是返回浏览器的状态代码发生了变化。

我将提供一个证明问题的最小测试用例。

import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/api/test403/*")
public class Test403 extends HttpServlet {
    public void doDelete(HttpServletRequest request, HttpServletResponse response) {
        try {
            String p = request.getParameter("send404");
            if (p != null && "1".equals(p)) {
                response.sendError(HttpServletResponse.SC_NOT_FOUND, "not found.");
            } else {
                response.sendError(HttpServletResponse.SC_OK, "ok.");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    private static final long serialVersionUID = 1L;
}

然后我通过以下网址进行测试

myproject/api/test403?send404=1
myproject/api/test403?send404=0

什么可能导致这种行为?我对整个servlet /容器架构并不过分熟悉。我只在1台使用tomcat 7.0.41的服务器上遇到此问题。我尝试了另一台服务器,但没有表现出这种行为。

编辑 - 每个请求,这里是chrome中网络面板的一些输出。我用ajax来启动这个特殊的请求:

Request Headers

DELETE /xxxxx HTTP/1.1
Host: xxxxx
Connection: keep-alive
Origin: xxx
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: xxx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: xxx

Response Headers

HTTP/1.1 403 Forbidden
Server: Apache-Coyote/1.1
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Wed, 16 Apr 2014 02:30:32 GMT

虽然我对某些值进行了匿名化,但我并没有删除任何标题。

1 个答案:

答案 0 :(得分:5)

......的组合

  • http DELETE请求
  • 调用HttpServletResponse.sendError(status, message)从您的servlet doDelete()方法
  • 发送404
  • 配置自定义404错误处理程序页面(例如,通过<error-page>中的web.xml指令)
  • 为您的上下文保留默认值readonly = true

将导致客户端收到403状态而不是您发送的404状态。

对servlet的请求可以为http删除请求提供服务,而不需要readonly为false,但是对文件的请求不能。当您调用sendError()时,tomcat将尝试查找与您指定的任何http状态匹配的自定义错误页面。在这种情况下,它找到一个(/my404.html),因此为了处理它,它基本上重新启动整个请求路由/调度过程,包括在请求上运行所有过滤器。但是,这次,由于它是一个静态文件请求,它会遇到一个内置过滤器,它会查找http DELETE方法,然后检查是否readonly = false。如果不是,则拒绝该请求,并将响应状态更改为403禁止,因为您不允许删除名为/my404.html的静态文件。

明智的解决方法是使用HttpServletResponse.setStatus(status)而不是HttpServletResponse.sendError(status, message),以便tomcat不会尝试查找错误页面。