URL中,拼接字符串与浏览器转意冲突解决方案

最新推荐文章于 2021-07-27 11:20:47 发布
最新推荐文章于 2021-07-27 11:20:47 发布
阅读量3.8k 收藏
点赞数
分类专栏: HTML & XML JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1104/article/details/40483915
版权

此问题相关信息(我不放在最前面,似乎有些朋友会找不到的样子.)

IE10+, Safari5.17+, Firefox4.0+,Opera12+, Chrome7+ 已经按新标准实现. 所以就没有这个问题了.
 
参考标准 :  http://www.w3.org/html/ig/zh/wiki/HTML5/tokenization  新标准明确提到,如果实体后面遇到的不是;且下一个是= 那么就不处理的.就是为了解决这个坑爹的问题的.

 

我们来看demo :

<a href="http://www.baidu.com?a=1&reg=2&reg_a=3" >悲剧</a>

 
部分浏览器(对应上面已经按新标准实现的版本之下的,各个浏览器.)
点上面的链接, 会自动把  &reg 转意成® (部分浏览器会自动对转意后的字符进行编码) .  
 
这个bug.的本质,就是当HTML中出现相关HTML实体(HTML character entity)时.就自动转意处理了. 所以理论上, 用脚本,动态创建的资源则没有这个问题,比如 new Image().src = 'http://www.baidu.com?a=1&reg=2'; 甚至动态创建的iframe.亦如此.

IE9- 有两个问题比其他浏览器更严重:
1. 用脚本跳转当前页比如location.href = xxx,或 location.replace(xxx) .又或者是调用window.open(xxx);如果查询字符串中包含这些html实体, 仍然会触发这个问题... 
2. ,参见标准, 你会知道实体+"其他字符"   ,    "其他字符中",哪些与实体连接在一起,是没有这个问题的. 比如 &rega  , &reg1     其中a, 1 与 &reg 连接就不会有这种问题,从标准角度,甚至是  &reg_a 也不应有问题. 但是IE9-又一次打败了我们.  至于其他特殊字符如 # ~ 等.在各个浏览器中表现各异. 考虑我们在设计字段名时,不大可能出现那些字符.我们也不再纠结其他浏览器在此处实现的差异.
 
 
 
所以,理论上,这个问题应该是后端的同学,在输出html时.更加要注意的问题.  而前端同学,要注意的则是跳转或弹窗时的url中是否有相关的字段包含一个无分号即为html实体的情况.
 
至于IE为啥这么特殊...我也没想明白...
 
那么,无论后端同学也好,前端同学也罢,我们可能更改已经定好的字段成本比较高.  所以其实最妥善的办法,应该是这样子: (感谢 @辰光未然 的提醒.) 
var fixURL = function (url) {
    return url.replace(/&/g,'&');
};
//使用fixURL 去替换url中的&.然后再输出给html, 或者跳转链接,又或者弹窗... 当然,前端的同学在js代码中之所以要这样做.主要是受IE的拖累...

那么大概,很多HTML 实体都会出问题:
 
 
这个表里, 没有分号结尾的,都是隐患...  也就是下面这106个: (感谢 @kenny 提供的最新的list 地址. 我花了点时间写了个脚本.把需要处理的,都抓了出来.)
 
 
我们可以用下面这个脚本来帮忙做检测 : 
var checkURL = function () {
    var list = [ //106
            'Á',
            'á',
            'Â',
            'â',
            '´',
            'Æ',
            'æ',
            'À',
            'à',
            '&',
            '&',
            'Å',
            'å',
            'Ã',
            'ã',
            'Ä',
            'ä',
            '¦',
            'Ç',
            'ç',
            '¸',
            '¢',
            '©',
            '&copy',
            '¤',
            '°',
            '÷',
            'É',
            'é',
            'Ê',
            'ê',
            'È',
            'è',
            'Ð',
            'ð',
            'Ë',
            'ë',
            '½',
            '¼',
            '¾',
            '>',
            '>',
            'Í',
            'í',
            'Î',
            'î',
            '¡',
            'Ì',
            'ì',
            '¿',
            'Ï',
            'ï',
            '«',
            '<',
            '<',
            '¯',
            'µ',
            '·',
            ' ',
            '¬',
            'Ñ',
            'ñ',
            'Ó',
            'ó',
            'Ô',
            'ô',
            'Ò',
            'ò',
            'ª',
            'º',
            'Ø',
            'ø',
            'Õ',
            'õ',
            'Ö',
            'ö',
            '¶',
            '±',
            '£',
            '"',
            '"',
            '»',
            '®',
            '&reg',
            '§',
            '­',
            '¹',
            '²',
            '³',
            'ß',
            'Þ',
            'þ',
            '×',
            'Ú',
            'ú',
            'Û',
            'û',
            'Ù',
            'ù',
            '¨',
            'Ü',
            'ü',
            'Ý',
            'ý',
            '¥',
            'ÿ'
        ];
        
    return function (url) {
        var l = list;
        var i = l.length;
        var matchIndex;
        var current;
        var nextchar;
        var errors = [];
        for (; i--;){
            matchIndex = url.indexOf(l[i]);
            current = l[i];
            if(matchIndex > -1){
                if((current === '&' || current === '&') && url.charAt(matchIndex + 4) === ';'){
                    //如果是 & 或 & 我们就认为是故意要输出 & ,比如是一个调用fixURL方法修正过的URL.里面的& 会被我们替换为 amp;
                    //所以,我们要跳过它,去检查后面.
                    continue;
                }
                nextchar = url.charAt(matchIndex + current.length);
                if(!/[a-zA-Z0-9]/.test(nextchar)){
                    //此处我们只要发现任意一个 ,如 &reg后面紧随字符不在 a-z,A-Z,0-9范围内.就算有问题.
                    //这样处理实际和标准的细节以及浏览器实现有细微差异. 但是本着任何浏览器来跑case,都能发现潜在威胁的原则.和实现复杂度的考虑.
                    // 我们姑且粗暴的这样处理了. 似乎还不错.
                     
                    errors.push(current + nextchar);
                }
            }
        }
        if(errors.length){
            throw Error('contains : \n' + errors.join('\n'));
        }
    };
}();

test case 1:  
var url  = '//www.baidu.com?a=1&=2<=3&reg=4';           
document.onclick = function () { //IE9-好了.证明我们的修正是ok的了.
      window.open(fixURL(url))
};

test case 2:  
var url  = '//www.baidu.com?a=1&=2<=3&reg=4';     
  try{
      checkURL(url);
  }catch(e){
      alert(e.message)
  }


止境
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
URL ,查询字符串与HTML实体冲突,可能带来的问题.
weixin_30622107的博客
09-28 151
此问题相关信息(我不放在最前面,似乎有些朋友会找不到的样子.) IE10+, Safari5.17+, Firefox4.0+,Opera12+, Chrome7+已经按新标准实现. 所以就没有这个问题了. 参考标准 :http://www.w3.org/html/ig/zh/wiki/HTML5/tokenization 新标准明确提到,如果实体后面遇到的不是;且下一个是= 那么...
JS拼接URL字符串
weixin_30493321的博客
09-20 1422
方法解析 使用encodeURIComponent进行编码,比如文 考虑到对象是否还包含别的类型,如数组 对象 代码 function encodeSearchParams(obj) { const params = []; Object.keys(obj).forEach((key) => { let value = obj[key]; // 如果值...
url义字符原理
韩保红的代码库博客——记录我的学习历程
09-15 194
如果表单的action为list.jsf?act=go&amp;state=5 则提交时通过request.getParameter可以分别取得act和state的值。 如果你的本是act='go&amp;state=5'这个字符串,那么为了在服务端拿到act的准确值,你必须对&amp;进行 义 [预备知识]           对与通过get方式提交的url浏览器在提交前首先根据h...
url特殊字符自动被浏览器换成乱码
shiqi0815的博客
07-27 2551
   在tomcat---&gt;conf---&gt;catalina.properties添加org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true,然后重启tomcat即可;
字符串拼接浏览器效率区别)
hahahhahahahha123456的博客
08-20 318
JS代码的执行效率往往直接影响了页面的性能,有的时候,实现同样的功能,不同的JS代码往往在效率上相差很多,有的时候仅仅是由于我们的书写习惯导致的,当然在高级点的浏览器,它们大多都已经帮我们优化了,但是在国,万恶的IE6仍然大量的存在,我们不得不去考虑它。对于JS代码的优化,实际上有很多的情况,有些影响是比较小的,而有些是比较严重的,本文,我把几个我认为影响比较严重的情况列出来,供大家参考。 ...
MySQL字符串与Num类型拼接报错的解决方法
09-09
在MySQL数据库操作拼接字符串是一项常见的任务,特别是在构建动态查询或处理数据时。然而,当尝试将字符串与数值类型的数据拼接时,可能会遇到一些问题,这主要是因为MySQL试图将不同类型的值进行隐式换,从而...
CodeIgniter 完美解决URL含有字符串
10-22
下面小编就为大家带来一篇CodeIgniter 完美解决URL含有字符串。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
TextViewURL等指定特殊字符串与点击事件解析
01-05
使用TextView时,有时可能需要给予TextView里的特定字符串,比如URL,数字特别的样式,必希望能够添加点击事件。比如发短信时,文字里的url就可以点击直接打开浏览器,数字可以点击拨打电话。 Android提供了...
nodejsURL字符串与查询字符串详解
10-25
主要介绍了nodejsURL字符串与查询字符串详解,需要的朋友可以参考下
JS对URL字符串进行编码/解码分析
01-21
但后两者是将字符串换为UTF-8的方式来传输,解决了页面编码不一至导致的乱码问 题。例如:发送页与接受页的编码格式(Charset)不一致(假设发送页面是GB2312而接收页面编码是 UTF-8),使用escape()换传输文...
Eureka[一]:server端启动与源码分析
qianyu012的博客
07-27 239
一:server端启动 (1)pom引入依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</artifactId> </dependency> (2)在启动类上加@EnableEurekaServer注解。 (3)配置文件加上: ...
js拼接URL字符串
热门推荐
本杰明的博客
07-10 4万+
实际开发,经常会遇到http请求(特别是get请求)或者跳页面需要拼接URL请求字符串,而经常性的思维就是利用“+”进行字符串拼接:var baseUrl = 'www.google.com' var a = 1, b = 'request', c = true var finalUrl = baseUrl + '?a=' + a + '&b=' + b + '&c=' + c这种方法看起来丑陋
URL路径传参参数被
April_519的博客
05-20 6628
URL路径传参参数被义 问题出现 在做项目的时候出现了参数拼接的情况,参数多为文汉字,调用方法进行查询的时候出现了查询内容为空的现象,在前台弹出数据为输入的文内容,但是传到后台发现被成了&eacute;&pound;? 刚开始以为是普通的乱码问题,最后发现是html发生了义。 问题代码: window.location.href = "/store/testByParam?storeName="+storeName; 解决方法: js代码: window.location.hre
url拼接遇到的无效问题
weixin_42335992的博客
05-08 1491
url链接出现 %EF%BB%BF 在一次爬虫代码编辑的过程遇到‘url链接出现 %EF%BB%BF’的问题,问题十分隐蔽,找了好久才定位到问题。 背景 在这次实验,我采用了txt文本来记录我后面需要爬取的连接的关键词,然后在爬取过程,使用base_url与关键词的拼接来获取最终的url。 之前在获取百度百科的数据时,这种方式完全没有问题,但是在获取互动百科的数据时,出现404,无法找到所...
controller的路径明明书写正确,浏览器访问的url拼接正确,但报404
a631278993的博客
05-07 3745
Bug:controller的路径明明书写正确,浏览器访问的url拼接正确,但报404 原因一:由于路由地址对应的处理方法存在同名而造成的,此时应该检查controller的方法们,看看有没有同名的,修改掉。 原因二:若所有路径都不能访问,则需要在启动配置文件配置一下 db_filter ,值为我们的项目所使用的数据库名。 载于:https://www.c...
HTML 字符实体
weixin_30276935的博客
01-25 141
HTML 的预留字符必须被替换为字符实体。 HTML 实体 在 HTML ,某些字符是预留的。 在 HTML 不能使用小于号(<)和大于号(>),这是因为浏览器会误认为它们是标签。 如果希望正确地显示预留字符,我们必须在 HTML 源代码使用字符实体(character entities)。 字符实体类似这样: &entity_name; ...
java url地址拼接随机字符串
最新发布
10-07
在Java,我们可以使用StringBuilder类来拼接URL地址和随机字符串。首先,为了生成随机字符串,我们可以使用Random类和StringBuilder类。 ```java import java.util.Random; public class Main { public static ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值