web前端安全技术之URL

admin

URL是互联网最伟大的创意之一,也就是我们经常提的链接,通过URL请求可以查找到唯一的资源,格式如下:<scheme>://<netloc>/<path>？<query>i<fragment>
比如,下面是一个最普通的URL:
http://www.foo.com/path/f.php?id-l&type=coolinew对应关系是
<path>-/path/f. php
< query>-id=1 type-cool,包括<参数名一参数值>对对于需要 Http Basic认证的URL请求,甚至可以将用户名与密码直接放入URL中,在< netloc>之前,格式如:
username:passwordewww.foo.com 我们接触最多的是 Http/hTtps协议的URL,这是Web安全的入口点,各种安全威胁都是伴随着URL的请求而进行的,如果客户端到服务端各层的解析没做好,就可能出现安全问题URL有个重点就是编码方式,有三类: escape、 encodeR、 encodeURIComponent对应的解码函数是: unescap、 decodeR、 decode URIComponent,这三个编码函数是有差异的,甚至浏览器在自动URL编码中也存在差异