近期甲方信息中心對系統進行了安全測評,結果發現tomcat如下的一系列高中危漏洞:
Apache Tomcat拒絕服務漏洞(CVE-2014-0230)
Apache Tomcat拒絕服務漏洞(CVE-2016-3092)
Apache Commons FileUpload 和 Tomcat拒絕服務漏洞(CVE-2014-0050)
Apache Tomcat 安全限制繞過漏洞(CVE-2016-8735)
.......
於是將tomcat版本由原先7.0.59 升級至最新版7.0.92,升級之後發現系統一直報如下錯誤:
net.sf.json.JSONException: JSONObject["***"] not found.
.......
於是就是上網查資料,發現:
原來從 apache-tomcat-7.0.63 開始,參數 maxPostSize 的含義就變了(在tomcat設置文件的server.xml中),低版本的tomcat maxPostSize=0代表post參數無長度限制。但高版本的tomcat maxPostSize=0則代表post參數長度爲0,導致參數無法傳遞到後臺,高版本的tomcat若設置post請求長度無限制應是maxPostSize=-1 !