java - tomcat 将 404 状态更改为 403 以进行 http 删除

Question

我有一个奇怪的问题，如果我的 servlet 发送 200 ok http 状态，它会按预期工作，并且客户端会按预期获得 200 状态。但是，如果我的 servlet 返回 404 状态，tomcat 似乎会将其更改为 403 状态。如果我使用 http get 方法，则不会发生这种情况。我还没有测试过 put 或 post。

我想非常清楚地说明我的 servlets doDelete 方法执行得很好。只是返回给浏览器的状态码变了。

我将提供一个最小的测试用例来演示该问题。

import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/api/test403/*")
public class Test403 extends HttpServlet {
    public void doDelete(HttpServletRequest request, HttpServletResponse response) {
        try {
            String p = request.getParameter("send404");
            if (p != null && "1".equals(p)) {
                response.sendError(HttpServletResponse.SC_NOT_FOUND, "not found.");
            } else {
                response.sendError(HttpServletResponse.SC_OK, "ok.");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    private static final long serialVersionUID = 1L;
}

然后我通过以下网址进行测试

myproject/api/test403?send404=1
myproject/api/test403?send404=0

什么会导致这种行为？我不太熟悉整个 servlet/容器架构。我只在一台使用 tomcat 7.0.41 的服务器上遇到这个问题。我尝试了另一台服务器，它没有表现出这种行为。

编辑 - 根据请求，这里是 chrome 网络面板的一些输出。我使用 ajax 来发起这个特定的请求:

Request Headers

DELETE /xxxxx HTTP/1.1
Host: xxxxx
Connection: keep-alive
Origin: xxx
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.116 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Referer: xxx
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: xxx

Response Headers

HTTP/1.1 403 Forbidden
Server: Apache-Coyote/1.1
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Wed, 16 Apr 2014 02:30:32 GMT

虽然我匿名了一些值，但我没有删除任何 header 。

Answer 1

...的组合

• http DELETE要求
• 调用 HttpServletResponse.sendError(status, message)从您的 servlet 发送 404 doDelete()方法
• 配置自定义 404 错误处理程序页面(例如，通过 <error-page> 中的 web.xml 指令)
• 保持默认值 readonly = true适合您的情况

将导致客户端收到 403 状态而不是您发送的 404。

对 servlet 的请求可以服务于 http 删除请求而不需要 readonly是假的，但对文件的请求不能。当您调用 sendError() 时会发生什么？ ，tomcat 将尝试查找与您指定的任何 http 状态相匹配的自定义错误页面。在本例中，它找到了一个 (/my404.html)，因此为了处理它，它基本上重新启动了整个请求路由/调度过程，包括对请求运行所有过滤器。但是，这一次，由于它是一个静态文件请求，它会遇到一个内置过滤器，该过滤器会查找 http DELETE。方法，然后检查是否 readonly = false .如果不是，请求将被拒绝，并将响应状态更改为 403 forbidden，因为不允许删除名为 /my404.html 的静态文件。 .

一个明智的解决方法是使用 HttpServletResponse.setStatus(status)而不是 HttpServletResponse.sendError(status, message) ，这样 tomcat 就不会尝试查找错误页面。正如@BogdanZurac 所提到的，除了设置状态以防止它寻找自定义错误页面之外，您可能还需要发送一个简短的响应正文(即“oops Error 404”)。