Jetty项目中的URI合规性配置问题解析

背景介绍

Jetty作为一个成熟的Java Web服务器和Servlet容器，在处理HTTP请求时需要对URI进行严格的合规性检查。在Jetty 12.0.16版本中，开发团队发现了一个关于URI合规性配置的问题，特别是在使用LEGACY模式时与SUSPICIOUS_PATH_CHARACTERS检查相关的行为不一致。

问题本质

Jetty的UriCompliance类提供了多种URI合规性检查模式，其中LEGACY模式旨在模拟Jetty旧版本(9/10/11)的行为。然而在12.0.16版本中，LEGACY模式未能完全复制旧版本对可疑路径字符的处理方式。

具体表现为：

1. LEGACY模式默认没有包含SUSPICIOUS_PATH_CHARACTERS检查
2. 当显式添加SUSPICIOUS_PATH_CHARACTERS检查时，其他LEGACY模式的检查规则会被意外重置
3. 新旧版本在处理特殊编码字符(如%5C、%0A等)时行为不一致

技术细节分析

在Jetty中，URI合规性检查通过UriCompliance类实现，它定义了一系列违规类型(Violation)：

• AMBIGUOUS_PATH_SEGMENT：模糊路径段
• AMBIGUOUS_PATH_SEPARATOR：模糊路径分隔符
• BAD_UTF8_ENCODING：错误的UTF-8编码
• SUSPICIOUS_PATH_CHARACTERS：可疑路径字符
• UTF16_ENCODINGS：UTF-16编码
• USER_INFO：用户信息

LEGACY模式本应包含所有这些检查，以保持与旧版本的兼容性。但在12.0.16中，SUSPICIOUS_PATH_CHARACTERS被意外遗漏。

解决方案

开发团队提出了几种可能的解决方案：

1. 将SUSPICIOUS_PATH_CHARACTERS显式添加到LEGACY模式中
2. 创建一个新的合规性模式(如SUSPICIOUS_PATH_CHARACTERS_WITH_AUTODECODE)来精确复制旧版本行为
3. 修复配置叠加时其他检查规则被重置的问题

经过测试验证，第一种方案(将SUSPICIOUS_PATH_CHARACTERS添加到LEGACY模式)被证明是安全可靠的，能够恢复与旧版本一致的行为。

对开发者的影响

这个问题主要影响以下场景：

1. 从Jetty 11升级到12的应用
2. 依赖特定URI处理行为的应用
3. 需要处理包含特殊字符URI的应用

开发者需要注意，在升级Jetty版本后，应测试应用中所有涉及特殊字符URI的功能，确保行为符合预期。

最佳实践建议

1. 明确指定所需的URI合规性模式
2. 升级前充分测试URI处理逻辑
3. 避免依赖未文档化的URI处理行为
4. 考虑使用更严格的合规性模式(如RFC7230)以提高安全性

这个问题展示了Jetty团队对向后兼容性的重视，也提醒开发者在使用Web服务器时需要注意URI处理的细节差异。通过这个修复，Jetty 12能够更好地保持与旧版本的兼容性，为平稳升级提供保障。