Jetty项目中的URI路径编码问题解析

在Jetty 12.0.16版本中，当使用AMBIGUOUS_PATH_ENCODING配置时，处理包含特殊编码字符的URI路径会出现异常情况。本文将深入分析这一问题及其解决方案。

问题现象

当开发者配置Jetty使用-Djetty.httpConfig.uriCompliance=DEFAULT,AMBIGUOUS_PATH_ENCODING参数启动，并部署一个Servlet应用时，如果请求URL中包含%25这样的编码字符（如/myTest/a%25），调用HttpServletRequest.getPathInfo()方法会抛出HttpException$IllegalArgumentException异常，错误信息为"400: Ambiguous URI encoding: AMBIGUOUS_PATH_ENCODING"。

技术背景

URI编码规范(RFC 3986)定义了URL中特殊字符的编码方式。百分号编码(%xx)用于表示不能直接在URL中使用的字符。其中%25是百分号(%)本身的编码表示。

Jetty的AMBIGUOUS_PATH_ENCODING模式是一种严格的安全检查机制，旨在防止潜在的URI解析歧义和攻击。当它检测到可能引起解析歧义的编码字符时，会主动抛出异常而不是尝试自动处理。

问题根源

问题的核心在于Jetty对双重编码情况的严格检查。当路径中包含%25时：

1. 首先，%25代表百分号字符本身
2. 如果系统尝试解码，可能会产生递归解码的问题
3. AMBIGUOUS_PATH_ENCODING模式将此视为潜在的安全风险

解决方案

对于需要处理这类特殊编码路径的应用，开发者有以下几种选择：

1. 修改URI合规性配置：可以调整Jetty的uriCompliance设置，移除AMBIGUOUS_PATH_ENCODING选项，但这会降低安全性

2. 预处理请求路径：在Servlet中先获取原始路径信息，自行处理特殊编码情况

3. 使用URL重写：通过前端代理或过滤器对URL进行规范化处理

4. 更新应用逻辑：避免在应用中使用需要双重编码的路径参数

最佳实践

对于生产环境，建议：

• 保持AMBIGUOUS_PATH_ENCODING的安全检查
• 在前端代理层(Nginx/Apache)进行URL规范化
• 对必须处理的特殊编码路径，使用明确的解码逻辑
• 记录和监控异常的URI请求，以便发现潜在的攻击行为

总结

Jetty的这一设计体现了安全优先的原则。开发者应当理解URI编码的复杂性，并在安全性和兼容性之间做出适当权衡。对于需要处理各种编码情况的应用，建议建立完善的URL预处理机制，而不是简单地禁用安全检查功能。