当前位置：文江博客话题详情

冒号“:”对于友好 URL 使用安全吗？

发布于 2024-08-18 08:36:55 字数 601 浏览 6 评论 0 原文

我们正在设计一个 URL 系统，它将应用程序部分指定为由斜杠分隔的单词。具体来说，这是在 GWT 中，因此 URL 的相关部分将在哈希中（将由客户端的控制器层解释）：

http://site/gwturl#section1/section2

某些部分可能需要额外的属性，我们希望用a :，以便 URL 的部分部分明确。代码将首先在 / 上拆分，然后在 : 上拆分，如下所示：

http://site/gwturl#user:45/comments

当然，我们这样做是为了 url 友好性，因此我们希望确保这些具有特殊含义的字符都不会被浏览器或任何其他系统进行 url 编码，并最终得到如下所示的 url：

http://site/gwturl#user%3A45/comments <--- BAD

Is using the colon in this way safe （通过这种方式，我对于浏览器、书签系统、甚至 Javascript 或 Java 代码来说，意味着不会自动编码？

原文

We are designing a URL system that will specify application sections as words separated by slashes. Specifically, this is in GWT, so the relevant parts of the URL will be in the hash (which will be interpreted by a controller layer on the client-side):

http://site/gwturl#section1/section2

Some sections may need additional attributes, which we'd like to specify with a :, so that the section parts of the URL are unambiguous. The code would split first on /, then on :, like this:

http://site/gwturl#user:45/comments

Of course, we are doing this for url-friendliness, so we'd like to make sure that none of these characters which will hold special meaning will be url-encoded by browsers, or any other system, and end up with a url like this:

http://site/gwturl#user%3A45/comments <--- BAD

Is using the colon in this way safe (by which I mean won't be automatically encoded) for browsers, bookmarking systems, even Javascript or Java code?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

白况 2024-08-25 08:36:55

我最近写了一个网址编码器，所以这对我来说很新鲜。

http://site/gwturl#user:45/comments

片段部分 (user:45/comments) 对于RFC 3986 URI。

ABNF 的相关部分：

fragment      = *( pchar / "/" / "?" )
pchar         = unreserved / pct-encoded / sub-delims / ":" / "@"
unreserved    = ALPHA / DIGIT / "-" / "." / "_" / "~"
pct-encoded   = "%" HEXDIG HEXDIG
sub-delims    = "!" / "$" / "&" / "'" / "(" / ")"
                 / "*" / "+" / "," / ";" / "="

除了这些限制之外，片段部分除了您的应用程序提供的结构之外，没有任何定义的结构。 http 方案仅表示您不将这部分发送到服务器。

编辑：

天啊！

尽管我对 URI 规范有断言，irreputable 在他指出 HTML 4 规范限制元素名称/标识符。

请注意，标识符规则在 HTML 5 中发生了变化。 URI 限制仍然适用（在撰写本文时，HTML 5 使用 URI 存在一些未解决的问题）。

I recently wrote a URL encoder, so this is pretty fresh in my mind.

http://site/gwturl#user:45/comments

All the characters in the fragment part (user:45/comments) are perfectly legal for RFC 3986 URIs.

The relevant parts of the ABNF:

fragment      = *( pchar / "/" / "?" )
pchar         = unreserved / pct-encoded / sub-delims / ":" / "@"
unreserved    = ALPHA / DIGIT / "-" / "." / "_" / "~"
pct-encoded   = "%" HEXDIG HEXDIG
sub-delims    = "!" / "quot; / "&" / "'" / "(" / ")"
                 / "*" / "+" / "," / ";" / "="

Apart from these restrictions, the fragment part has no defined structure beyond the one your application gives it. The scheme, http, only says that you don't send this part to the server.

EDIT:

D'oh!

Despite my assertions about the URI spec, irreputable provides the correct answer when he points out that the HTML 4 spec restricts element names/identifiers.

Note that identifier rules are changing in HTML 5. URI restrictions will still apply (at time of writing, there are some unresolved issues around HTML 5's use of URIs).

回复收藏 0 原文

鱼窥荷 2024-08-25 08:36:55

MediaWiki 和其他 wiki 引擎在其 URL 中使用冒号来指定名称空间，显然没有什么大问题。

例如 http://en.wikipedia.org/wiki/Template:Welcome

回复收藏 0 原文

瞄了个咪的 2024-08-25 08:36:55

除了 McDowell 对 URI 标准的分析之外，还请记住片段必须是有效的 HTML 锚点名称。根据 http://www.w3.org/TR/html4/types .html#类型名称

ID 和 NAME 令牌必须以
字母 ([A-Za-z]) 并可能跟随
由任意数量的字母、数字组成
([0-9])、连字符 (“-”)、下划线
（“_”）、冒号（“:”）和句点
（“。”）。

所以你很幸运。 “：”是明确允许的。没有人应该“％”转义它，不仅因为“％”在那里是非法字符，而且因为片段必须逐个字符匹配锚点名称，因此任何代理都不应尝试以任何方式篡改它们。

然而你必须测试它。 Web 标准没有得到严格遵循，有时标准会发生冲突。例如，HTTP/1.1 RFC 2616 不允许在请求 URL 中包含查询字符串，而 HTML 在使用 GET 方法提交表单时构造一个查询字符串。无论哪一个在现实世界中实施，最终都会获胜。

回复收藏 0 原文

冰火雁神 2024-08-25 08:36:55

我不会指望它。许多用户代理可能会将 url 编码为 %3A。

回复收藏 0 原文

べ映画 2024-08-25 08:36:55

谷歌也使用冒号。

在此规范中，他们使用冒号作为自定义方法名称。

回复收藏 0 原文

情愿 2024-08-25 08:36:55

来自 URLEncoder javadoc：

有关 HTML 表单的更多信息
编码，请参阅 HTML
规范。

对字符串进行编码时，如下
适用规则：

字母数字字符“a”
到“z”、“A”到“Z”和“0”
到“9”保持不变。

该
特殊字符“.”、“-”、“*”和
“_”保持不变。

空间
字符“ ”转换为加号
符号“+”。

所有其他字符都是
不安全并首先转换为
使用某种编码的一个或多个字节
方案。那么每个字节都表示
由 3 个字符的字符串“%xy”组成，其中
xy 是两位十六进制数
字节的表示。这
推荐使用的编码方案是
UTF-8。不过为了兼容
原因，如果编码不是
指定，则默认编码
使用该平台的。

也就是说， : 并不安全。

回复收藏 0 原文

生生漫 2024-08-25 08:36:55

我没有看到 Firefox 或 IE8 对某些包含该字符的 Wikipedia URL 进行编码。

回复收藏 0 原文

风吹雨成花 2024-08-25 08:36:55

如果协议需要身份验证，则使用冒号作为用户名和密码之间的分隔符。

回复收藏 0 原文

焚却相思 2024-08-25 08:36:55

Apache URIBuilder 和 JAX-RS UriBuilder 类以不同的方式处理 : （它们也以不同的方式对待花括号）

new URIBuilder("http://localhost").setCustomQuery("foo=a:b&bar={}").buildString()

输出

http://localhost?foo=a:b&bar=%7B%7D

UriBuilder.fromPath("http://localhost").queryParam("foo", "a:b").queryParam("bar", "{}").toTemplate()

输出

http://localhost?foo=a%3Ab&bar={}

所以 Apache URIBuilder 似乎没有编码: 但它对 {} 进行编码，对于 JAX-RS UriBuilder 则相反。

Apache URIBuilder and JAX-RS UriBuilder classes treat : differently (they also treat curly braces different)

new URIBuilder("http://localhost").setCustomQuery("foo=a:b&bar={}").buildString()

outputs

http://localhost?foo=a:b&bar=%7B%7D

UriBuilder.fromPath("http://localhost").queryParam("foo", "a:b").queryParam("bar", "{}").toTemplate()

outputs

http://localhost?foo=a%3Ab&bar={}

So Apache URIBuilder does not seem to encode : but it encodes {} and for JAX-RS UriBuilder it is the other way around.

回复收藏 0 原文

┈┾☆殇 2024-08-25 08:36:55

结肠并不安全。参见此处

回复收藏 0 原文

难以启齿的温柔 2024-08-25 08:36:55

它不是一个安全字符，当它位于您的域名之后时，用于区分您连接到的端口

回复收藏 0 原文

~没有更多了~

关于作者

迷途知返

暂无简介

文章

29 人气

关注发私信

友情链接

文江博客

冒号“:”对于友好 URL 使用安全吗？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（11）

关于作者

相关话题

热门标签

推荐作者

诺曦

要走干脆点

把回忆走一遍

陌上青苔

Arthur

哄哄

友情链接

冒号“:”对于友好 URL 使用安全吗？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（11）

关于作者

相关话题

热门标签

推荐作者

诺曦

要走干脆点

把回忆走一遍

陌上青苔

Arthur

哄哄

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。