rust - "Urlencoded payload size is bigger than allowed (default: 256kB)"

Question

我有一个格式化 MySQL 查询的小 Rust 程序，但我发现它在更大的查询上失败，返回

Urlencoded payload size is bigger than allowed (default: 256kB)

我正在使用 actix web，它看起来像这样

use actix_web::{
    web, App, HttpResponse, HttpServer, Result,
};

#[derive(Deserialize)]
pub struct MyParams {
    q: String,
}

fn index(params: web::Form<MyParams>) -> Result<HttpResponse> {
    Ok(HttpResponse::Ok()
        .content_type("text/html; charset=utf-8")
        .body("test"))
        // .body(mysql_format2(&params.q[..])))
}

fn main() -> std::io::Result<()> {
    HttpServer::new(|| {
        App::new().service(
            web::resource("/")
                .route(web::post().to(index))
        )
    })
    .bind("127.0.0.1:48627")?
    .run()
}

调用它的 PHP 脚本看起来像

$this->FormattedMySQL = str_repeat("make a big query ", 1024*256);

$query =  http_build_query([
    'q' => $this->FormattedMySQL,
]);

// if I change this to 16385 (+1)
// then it breaks and returns that error
$query = substr($query, 0, 16384);

if ($this->FormatMySQL && strlen($query) <= 262144) {
    try {
        $this->VerbosePrint('formatting');
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, MYSQL_FORMAT_ENDPOINT);
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $query);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_TIMEOUT, 5);
        $this->FormattedMySQL = curl_exec($ch);
        curl_close($ch);
    } catch (Exception $_) { }
}

我错过了什么，或者为什么这似乎是针对 16kB 而不是 256kB 抛出此错误？

我看到也可以 set the Payload config但我不完全确定如何/在我现有的代码中应用它。

Answer 1

快速回答是有第二个配置 (FormConfig)，这就是您遇到的问题。目前还不清楚，因为它返回与 PayloadConfig 相同的错误类型(这是有原因的，我将在“更长的版本”中解释)

将您的 actix 服务器定义更改为此以将其更改为 256kb:

HttpServer::new(|| {
    App::new().service(
        web::resource("/")
            .route(web::post()
                .to(index)
            )
            .data(web::Form::<MyParams>::configure(|cfg| cfg.limit(256 * 1024)))
    )
})
.bind("127.0.0.1:48627")?
.run()

您还需要导入 actix_web::FromRequest，因为这是对象类型从请求更改为 urlencoded 形式的地方，也是 configure() 发生的地方方法生活。

现在，为解释!

Actix 与其他框架非常相似，具有多层限制。你找到了其中一个，这是另一个。

您找到的那个可以防止因内存耗尽而导致的拒绝服务(即有人发送一个故意较大的有效负载来攻击您的服务器，因为它必须将主体存储在某个地方以进行处理)。它管理请求的整个负载。

你要击中的那个是对每个单独字段的小得多的限制，它的存在是为了防止一种不同类型的耗尽攻击。假设您的攻击者知道您正在用某些东西解析输入；让我们假装它是 JSON。通过发送任意大且复杂的 JSON，他们可以在处理单个请求时有效地锁定您的服务器。小数据输入，非常后果。

因此，这两个限制通常相互独立，您可以根据自己的要求微调限制。很多小田？没问题。一大块？也不是问题。

FormConfig限制的作用位于here如果您想查看代码本身。由于类型返回与 PayloadConfig 限制((此结构的 Overflow 变体)[ https://docs.rs/actix-web/1.0.7/actix_web/error/enum.UrlencodedError.html] )相同，消息不清楚，您最终结果抓挠你的头。

我认为错误“相似”的主要目的是防止服务器向潜在攻击者指示他们达到了哪个限制，并且it seems to be what they had in mind .面向用户的错误描述是问题所在，这可能会通过适当的 PR 进行调整。