近期甲方信息中心对系统进行了安全测评,结果发现tomcat如下的一系列高中危漏洞:
Apache Tomcat拒绝服务漏洞(CVE-2014-0230)
Apache Tomcat拒绝服务漏洞(CVE-2016-3092)
Apache Commons FileUpload 和 Tomcat拒绝服务漏洞(CVE-2014-0050)
Apache Tomcat 安全限制绕过漏洞(CVE-2016-8735)
.......
于是将tomcat版本由原先7.0.59 升级至最新版7.0.92,升级之后发现系统一直报如下错误:
net.sf.json.JSONException: JSONObject["***"] not found.
.......
于是就是上网查资料,发现:
原来从 apache-tomcat-7.0.63 开始,参数 maxPostSize 的含义就变了(在tomcat设置文件的server.xml中),低版本的tomcat maxPostSize=0代表post参数无长度限制。但高版本的tomcat maxPostSize=0则代表post参数长度为0,导致参数无法传递到后台,高版本的tomcat若设置post请求长度无限制应是maxPostSize=-1 !