危险的encodeURIComponent

最新推荐文章于 2022-12-22 14:18:26 发布
最新推荐文章于 2022-12-22 14:18:26 发布
阅读量273 收藏
点赞数
文章标签: javascript ViewUI
原文链接:https://yq.aliyun.com/articles/27866
版权

javascript中的 encodeURIComponent() 方法很常用,MDN里在描述这个方法的时候,有提到这个异常: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/encodeURIComponent

在下面这个case中,node.js里被发现一个严重bug: http://cnodejs.org/topic/4fd6b7ba839e1e581407aac8
当时所有connect的app都紧急修复大伙们之前都没有意识到这个问题的存在,直到遇到这个可怕的0xDFFF,实在是隐蔽,汗!

stackoverflow上有人给出了一个详细的解答,大致翻译一下,大伙看看:

同样也是遇到这个问题,为了发现问题所在,@Brett Zamir 写了一个遍历方法,把ucs-2的字符集扫描了一遍:

for (var regex = '/[', firstI = null, lastI = null, i = 0; i <= 65535; i++) {
    try {
        encodeURIComponent(String.fromCharCode(i));
    }
    catch(e) {
        if (firstI !== null) {
            if (i === lastI + 1) {
                lastI++;
            }
            else if (firstI === lastI) {
                regex += '\\u' + firstI.toString(16);
                firstI = lastI = i; 
            }
            else {
                regex += '\\u' + firstI.toString(16) + '-' + '\\u' + lastI.toString(16);
                firstI = lastI = i; 
            }
        }
        else {
            firstI = i;
            lastI = i;
        }        
    }
}

if (firstI === lastI) {
    regex += '\\u' + firstI.toString(16);
}
else {
    regex += '\\u' + firstI.toString(16) + '-' + '\\u' + lastI.toString(16);
}
regex += ']/';
alert(regex);  // /[\ud800-\udfff]/

很快结果就出来了,ud800-udfff 这段的字符是有问题的,再写个脚本验证一下:

for (var i = 0; i <= 65535 && (i <0xD800 || i >0xDFFF ) ; i++) {
    try {
        encodeURIComponent(String.fromCharCode(i));
    }
    catch(e) {
        alert(e); // Doesn't alert
    }
}
alert('ok!');

上面的输出符合MSDN上说的:这些字符除了surrogates,即便是“non-characters”也都是合法的unicode序列。

surrogates就是上面扫描出来的危险字符集空间段,分为高位段,低位段

有了这个范围,你可以直接过滤掉这些危险字符,但是当这组字符成对出现的时候(高低位段的字符搭配),它们作为unicode扩展集字符又是合法的(utf-16)

alert(encodeURIComponent('\uD800\uDC00')); // ok
alert(encodeURIComponent('\uD800')); // not ok
alert(encodeURIComponent('\uDC00')); // not ok either

所以如果你只是想屏蔽这个段的字符

urlPart = urlPart.replace(/[\ud800-\udfff]/g, '');

如果你想屏蔽非法的字符,但是保留高低位合法组合的字符(utf-16字符,很少用到),可以这么搞:

function stripUnmatchedSurrogates (str) {
    return str.replace(/[\uD800-\uDBFF](?![\uDC00-\uDFFF])/g, '').split('').reverse().join('').replace(/[\uDC00-\uDFFF](?![\uD800-\uDBFF])/g, '').split('').reverse().join('');
}

var urlPart = '\uD801 \uD801\uDC00 \uDC01'
alert(stripUnmatchedSurrogates(urlPart)); // Leaves one valid sequence (representing a single

如果js native处理了这个问题,就可以免了这个猥琐的修补,多好啊,哼!

====== 翻译完毕 ====

补充:

上诉的高低位端,实际上是 UCS-2中的保留字段。 unicode字符集分为很多端,看这里 http://baike.baidu.com/view/40801.htm

D800-DBFF:High-half zone of UTF-16  utf-16 高位
DC00-DFFF:Low-half zone of UTF-16  utf-16 低位

utf-16的参考资料:http://zh.wikipedia.org/wiki/UTF-16, 其中描述到:

Unicode的编码空间从U+0000到U+10FFFF,共有1,112,064个码位(code point)可用来映射字符. Unicode的编码空间可以划分为17个平面(plane),每个平面包含216(65,536)个码位。17个平面的码位可表示为从U+xx0000到U+xxFFFF,其中xx表示十六进制值从0016到1016,共计17个平面。第一个平面称为基本多语言平面(Basic Multilingual Plane, BMP),或称第零平面(Plane 0)。其他平面称为辅助平面(Supplementary Planes)。基本多语言平面内,从U+D800到U+DFFF之间的码位区段是永久保留不映射到Unicode字符。UTF-16就利用保留下来的0xD800-0xDFFF区段的码位来对辅助平面的字符的码位进行编码。

所以这个问题就清晰明了

补充: 感谢 @猎隼 的补充
decodeURIComponent()确实也是危险的存在, js的encodeURIComponent, decodeURIComponent 处理的都是utf-8编码的字符集。decodeURIComponent 一旦传入gbk的encode字符串,异常就会抛出,没有try catch就会搞死node进程。

参考:
http://stackoverflow.com/questions/16868415/encodeuricomponent-throws-an-exception

weixin_33709609
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
encodeURIComponent encodeURI 中文转GBK编码
10-09
serialize , encodeURIComponent encodeURI 中文转成GBK编码 encodeURIComponent encodeURI 默认转 utf-8 ;重写方法 转成GBK
angular-cleanurl:Angular Web 安全 url 字符串过滤器
07-04
为了实现这个过滤器,开发者可能使用了JavaScript的内置函数,如`encodeURIComponent()`,它将非字母数字字符转换为百分号编码,以确保它们在URL中是安全的。此外,可能还会进行一些额外的处理,比如去除不必要的...
检测到有潜在危险的Request.Form值
weixin_33737774的博客
01-13 112
由于在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危险性值。立马报出“从客户端 中检测到有潜在危险的Request.Form值”这样的错。 用encodeURIComponent进行数据编码之后再进行数据的传输能很好的解决这个问题...
又一次掉进encodeURIComponent的坑里了
zccst的专栏
11-05 3286
作者:zccst 原坑: get请求 ajax.get ( url+'?k1'=v1+'&k2'=v2+'&k3'=v3, ... ); 由于URL只进行了encodeURI编码,所以想提交的参数有searchWord = a+b时,变成了a b。 解决办法: ajax.post( url, params,....) 其中params是对象。 ...
Node学习(三)02-根据不同url地址处理不同请求——encodeURIComponent()-中文编码、decodeURIComponent()-编码后解码 & request.url-请求路径
weixin_44867717的博客
08-27 2323
node
encodeURIencodeURIComponent
weixin_30699741的博客
03-23 73
encodeURI是对整个uri进行编码的,而encodeURIComponent是对uri中部分内容进行编码。   在进行url的字符串拼接时,需要进行两次encodeURI。   只进行一次encodeURI,服务器在进行request.getParameter()时会自动进行一次解码,而这个解码字符集可能使用的是操作系统默认字符集。   如果进行两次encodeURI,在...
javascript过滤危险脚本方法.docx
01-19
- **输出编码**:对输出到HTML的内容进行适当的转义,比如使用`htmlspecialchars`(PHP)或`encodeURIComponent`(JavaScript)。 - **内容安全策略(CSP,Content Security Policy)**:设置HTTP响应头,定义允许...
JavaScript常用全局属性与方法记录积累
12-13
6. **eval()**:这是一个危险且强大的方法,它能够执行一个JavaScript代码字符串,并返回计算结果。由于安全和性能问题,应谨慎使用。 7. **isFinite()**:检查传入的值是否为有限的数字。如果值是无穷大或非数字,...
jj-learning:工作学习中的积累,作为沉淀也是财富。有错误的地方或者建议可以web_jwq@163.com联系我~
05-09
a 标签-_blank 危险与 opener 复制-源码 滚动条-内外不联动处理-源码 输入框-光标处理方法-源码 输入框-去除浏览器记住密码功能-源码 输入框-自适应宽高(依赖 jquery)-源码 JAVASCRIPT 原生 Dom 实用语句 标签页关闭...
JavaScript进阶:JS的全局变量和全局函数.docx
07-05
5. `eval()`:这是一个危险的函数,它将字符串作为JavaScript代码执行。使用时需谨慎,因为它可能导致安全问题和性能下降。 6. `isFinite()`:检查给定的数值是否为有限的,返回布尔值。如果值是无穷大或NaN,它会...
encodeURIComponent 文档
12-20
url传递汉字的解决方法 encodeURIComponent encodeURI 的区别
JS中三种编码方式(escape,encodeURI,encodeURIComponent)
03-20
NULL 博文链接:https://liuzidong.iteye.com/blog/829204
encodeURIComponent编码后java后台的解码
01-24
同学的毕业设计出现JavaScriptencodeURIComponentt编码后无法再后台解码的问题。 原来他是这样写的: window.self.location="searchbytext.action?searchtext="+encodeURIComponent(seartext);
JSONP伪同步请求及如何使用GBK 进行encodeURIComponet 编码
sflf36995800的博客
05-27 1308
【jsonp同步请求】 使用jQuery.ajax 发送jsonp 请求,其原理决定了它不可能同步请求,但可以换一种方式,我们可以利用浏览器的解析文档规则: 浏览器在解析HTML文档时,遇到script 标签,会停下来解析并执行里面的代码,当script 请求的一个远程文件时,会等待这个文件加载完毕再往下执行,直到该文件加载失败, 利用这一点虽然不能完全达到XHR同步效果,但可以在加载时实现
URL编码解决中文字符乱码(encodeURIComponentdecodeURIComponent)
热门推荐
ion_L的博客
09-30 1万+
1、encodeURIComponent 转义除了字母、数字、(、)、.、!、~、*、'、-和_之外的所有字符(可看下表的非转义字符更清晰)。 注意:为了避免服务器收到不可预知的请求,对任何用户输入的作为URI部分的内容你都需要用encodeURIComponent进行转义。 var x = encodeURIComponent("https://baidu.com/a(-_.!~*')1"...
js对中文进行gb2312/gbk编码解码
haohao7118的博客
03-03 4447
JavaScript使用的是Unicode编码,使用内置的encodeURIComponentencodeURI,escape都是编码为Unicode的url编码,如果传递这些编码到gb2312或者gbk编码的页面就会乱码。 下面是用js中实现GBK/gb2312编码。适合使用js进行页面参数传递时,给GBK/gb2312编码页面传递参数,解决乱码。 点击下载:js对中文进行gb2312/gbk...
页面组件安全防范
xinyi0622的博客
04-02 169
1、页面标签必须关闭,属性值必须加引号。 在页面中使用的标签不关闭,属性值不加引号往往成为被攻击点,攻击者很容易的利用这些漏洞进行注入。避免这些漏洞的出现可以提高被攻击的可能。 2、Form提交方式必须选用POST。 Form默认的提交方式是Get,这种方式将表单中数据的按照variable=value的形式,使用“?”添加至Action所指向的URL后面,各个变量之间使用“&”连接...
decodeuricomponent php,JS中encodeURIComponent函数用php解码的代码
weixin_39636717的博客
03-10 568
JS中encodeURIComponent函数用php解码的代码更新时间:2012年03月01日 15:43:02 作者:在JS中使用了encodeURIComponent对中文进行编码在PHP中使用iconv('UTF-8','gb2312',$q);就可以得到你需要的字串了,其中gb2312根据你实际应用来定如还不明白为什么看下面的文章JS中encodeURIComponent函数给中文编...
百度工程师带你体验引擎中的nodejs
lihui49的博客
12-22 507
如果你是一个前端程序员,你不懂得像PHP、Python或Ruby等动态编程语言,然后你想创建自己的服务,那么Node.js是一个非常好的选择。
encodeUriComponent
最新发布
10-26
encodeUriComponent是一个JavaScript函数,用于将URL中的特殊字符进行编码,以便在网络传输过程中不会出现错误。它会对除了ASCII字母、数字、~、!、*、(、)、'以外的所有字符进行编码。正确的用法是将要编码的参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值