Urlencode编码对HTTP的URL地址的作用的探究(20210519更新,最终结论得出,XSS相关)

最新推荐文章于 2023-03-01 15:14:06 发布
最新推荐文章于 2023-03-01 15:14:06 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31620591/article/details/116839148
版权

URL编码 游览器行为 XSS攻击 Userinfo 安全性
关键词由CSDN通过智能技术生成

 

本文要点

  1. 在游览器地址栏中输入包含特定字符的URL地址时,部分字符,例如大括号"{}"会被URLencode,且不同游览器的行为并不一致。
  2. 本文根据相关文档,分析了URI的结构与格式。
  3. 通过搜寻资料,本文粗略地解释了第1条中述及现象的缘由——这一现象与URL在官方文档中的定义没有关系。特定字符是否会被url编码实际上仅由游览器的相关逻辑决定。
  4. 实际上,该编码策略能够被用于抵御xss攻击。

目录

本文要点

现象描述

URL结构分析

URL中"Userinfo"部分带来的安全隐患

当URL中的authority部分为空时,会发生什么?

差异缘由(一种基于URL fragment部分的XSS攻击)

 

现象描述

今天闲来无事切了一道19年的CTF题,题目的预期解法很简单,就是篡改HTTP头的X-fowarded,实施SSTI攻击,不过发现了一个奇怪的现象:

以下是一份简单的用于测试的PHP代码:

<?php


echo 'HTTP_HOST: '.$_SERVER['HTTP_HOST'].'<br/>';
echo 'REQUEST_URI: '.$_SERVER['REQUEST_URI'];
echo "<br/>";
foreach($_REQUEST as $key => $value)
{
    echo "Key:$key; Value: $value<br />\n";
}
?>

以下是测试结果:

# 第一类:从chrome游览器输入url地址并访问!!
#测试1
http://127.0.0.1/0515_smarty.php/?a=123%23

HTTP_HOST: 127.0.0.1
REQUEST_URI: /0515_smarty.php/?a=123%23
Key:a; Value: 123#

测试2
http://127.0.0.1/0515_smarty.php/{}?{}=666

HTTP_HOST: 127.0.0.1
REQUEST_URI: /0515_smarty.php/%7B%7D?{}=666
Key:{}; Value: 666

测试3
http://127.0.0.1/0515_smarty.php/{}()''""?{}()''""

HTTP_HOST: 127.0.0.1
REQUEST_URI: /0515_smarty.php/%7B%7D()''%22%22?{}()%27%27%22%22
Key:{}()''""; Value:

测试4
(Internet Explorer游览器)
http://127.0.0.1/0515_smarty.php/{}()''""?{}()''""

HTTP_HOST: 127.0.0.1
REQUEST_URI: /0515_smarty.php/%7B%7D()''%22%22?{}()''""
Key:{}()''""; Value:

测试1展示了urlencode的正确使用方法:在地址里由urlencode表示的“#”号会在php读取get变量值的过程中被自动解码为正常符号。但是在REQUEST_URI中还是以Urlenocde编码的形式出现。

测试2中“?”字符在url中分割了地址部分和参数部分,我们发现“?”前的“{}”被urlcode了,而其后的"{}"则维持原样。

这是php的某些特性吗?显然不是,web客户端在提交游览请求时,是游览器帮助我们完成对url的编码操作。这一点很好证明,例如在chrome的地址栏中输入上述的url地址,再将url地址复制出来,你就会发现你输入的地址已自动经过urlencode编码处理。

因此,如果使用burpsuite截包,对url地址进行强行修改的话,REQUEST_URI中的特殊符号会照原样显示。

HTTP_HOST: 127.0.0.1
REQUEST_URI: /0515_smarty.php/(){}''""?(){}''""
最低0.47元/天 解锁文章
一个闲散之人的闲散
关注
一文读懂 URLEncodeURL编码原理解析
bjxiaxueliang的CODING技术小馆
02-23 7165
使用浏览器进行Http网络请求时,若请求query中包含中文,中文会被编码为 `%+16进制+16进制`形式,但你真的深入了解过,为什么要进行这种转义编码吗?编码的原理又是什么?
什么是urlencode,什么时候能用到
weixin_30888027的博客
03-16 426
urlencode()函数用于编码URL字符串。 假设你的网站希望采用rest风格的路由来做搜索引擎优化: http://www.somesite.com/tag/:name 上面的业务是根据某个tag名称,来呈现对应的页面,但是url中是不允许有中文出现的,所以如果我的name是: http://www.somesite.com/tag/美女与野兽 那么我需要urlencod...
urlcode解码-HTTPURL编码解码
07-17
urlcode解码,HTTPURL编码解码-A codec for URL encoding and decoding
URLencode
含冰止咳的播博客
05-02 1851
URLencodeurlencode是一个函数,可将字符串以URL编码,用于编码处理。URL编码(URL encoding),也称作百分号编码(Percent-encoding), 是特定上下文的统一资源定位符 (URL)的编码机制。适用于统一资源标识符(URI)的编码,也用于为"application/x-www-form-urlencoded" MIME准备数据, 因为它用于通过HTTP的请求...
XSS解决方案(以及前端UrlEncode 加密两次的原理分析);附代码
qq_32649889的博客
11-07 2918
**XSSFilter.java** package com.sfpay.scfp.oms.app.filter;import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl
urlencode
dldl1718的博客
02-17 1101
urlencode将字符串以url的形式编码,返回值是一个字符串。例如空格在编码后会变成加号。 在python3.6以后,通过from urllib.parse import urlencode导入,很久之前的版本,通过 from urllib import urlencode的形式导入 python 例如:data = { 'aid': 24, 'offset...
urlcode编码绕过xss限制
weixin_64311421的博客
03-01 272
url编码绕过xss限制
php urlencode()与urldecode()函数字符编码原理详解
10-28
urlencode() 相对的是urldecode() 函数,它用于对urlencode() 编码后的URL字符串进行解码,恢复其原始内容。这个函数的作用是将编码后的字符串按照URL编码规则转换回原来的字符序列。 当urldecode() 函数接收到一...
php的urlencode()URL编码函数浅析
10-28
URL编码是一种编码方式,它将网页URL中的非字母数字字符转换为"百分号编码",即使用"%"加上两位十六进制数来表示一个字符。在互联网上,最常见于搜索引擎输入中文时,搜索引擎将中文字符转换为URL编码格式,以避免...
PB 进制转换 url编码 urlencode urldecode 数组排序
07-09
自己写的,可能有bug,请大家一块学习 环境为PB12 函数(及参数) 作用 arraysort 对一维数组进行排序 decto 将十进制数字转成其它进制字符串 ...urlencode 将指定字符串以进行指定字符集url编码 涨价了,哈哈
HTTP URL编码
{竹子}
05-23 503
引用了文章《关于URL编码》的结论结论1:网址路径的编码,用的是utf-8编码结论2:查询字符串的编码,用的是操作系统的默认编码结论3:GET和POST方法的编码,用的是网页的编码结论3:在Ajax调用中,IE总是采用GB2312编码(操作系统的默认编码),而Firefox总是采用utf-8编码。: 以上结论,待进一步优化验证 ...
Android中的http请求 URLEncode
qq_25330791的博客
10-13 563
最近在搞http相关的处理,碰到一个URLEncode的问题,简单记录下,供后期查找。 发送给服务端的请求中的参数值,如果含有特殊符号,需要是做URLEncode,服务端才可以正常解析,否则可能会出错。 URLEncode主要是把一些特殊字符转换成转移字符,比如:&要转换成&amp;这样的。 如果不转换,可能会在运行时直接报错。 如果全部转换,也会报错,因为会把其中非参数的部分也给转换了。 所以要确保只有参数部分被转换。 转换方式: public static String
URLEncode进行url传递地址的加密与解密
kkliu201210的专栏
05-08 3228
String encodeStr = URLEncoder.encode("中国", "utf-8"); System.out.println("处理后:" + encodeStr); String decodeStr = URLDecoder.decode(encodeStr, "utf-8"); System.out.println("解码:" + decodeStr); 处
UrlEncode用法
zhaogengzi的专栏
01-17 5902
曾经有一位朋友遇到这样一个问题,一产品名称为A&T Plastic,在产品列表中就产生了这样的一个联接A&T Plastic,在服务器端接收此参数的时候怎么也无法接收到准确的产品名。  当时就问我,如何解决,也许是当时忙吧,随口告诉他用HTMLENCODE方法,对方试告诉并没有能解决这个问题。我当时没有再给予回答,偶尔想起实在是对不起,我讲错了。今日闲暇就整理了一下如何处理GET方式提交的含有特
关于接口请求参数Urlencode编码
热门推荐
真香号
02-11 1万+
httphttps 请求的参数,为什么要urlEncode编码
为什么要 urlencode()
andyzhaojianhui的专栏
12-25 928
1.是因为当字符串数据以url的形式传递给web服务器时,字符串中是不允许出现空格和特殊字符的2. 因为 url 对字符有限制,比如把一个邮箱放入 url,就需要使用 urlencode 函数,因为 url 中不能包含 @ 字符。           3.url转义其实也只是为了符合url的规范而已。因为在标准的url规范中中文和很多的字符是不允许出现在url中的
URL encode 编码
njust_cse_17_wc的博客
03-10 3043
总结一下URLencode,解决了URL中有中文字符无法发送GET请求的问题。
开发小技巧—浏览器中查看Unicode UrlEncode编码快速解码内容
u010865136的专栏
11-10 2212
接口调用时,返回的错误码msg一般都经过编码处理,需要通过解码工具方知你具体含义。 方法一: *通过解码工具 http://tool.chinaz.com/tools/urlencode.aspx 方法二: 借用谷歌扩展JSON-handle 方法二:比较快速的方法 借用谷歌的console
vue对url进行urlencode编码
最新发布
04-11
URL进行urlencode编码的方法,可以使用JavaScript中的encodeURIComponent()函数。该函数将URL中的特殊字符转换为相应的编码形式,以保证URL正确传递。例如: var url = 'https://www.example.com/search?q=百度';...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值