事件缘起
有一个生产项目,包含两部分内容:网页端、客户端。
网页端用于展示一些电子书的列表,当用户点击某个电子书时,会通过自定义协议唤醒本地安装的客户端程序,然后在客户端中展示电子书的具体内容。
在自定义协议中会包含一些客户相关的传参,其中有部分参数值是用户自定义的,且被直接拼接到自定义协议链接地址中进行使用。例如:
myprotocol://a=1&b=${用户自定义的参数}
当用户设置的参数值中包含了“#”时,问题出现了(当然类似的还有“&”):程序运行时会报参数错误。
问题原因
1)构造自定义协议链接,并通过浏览器访问它以唤醒客户端程序;
myprotocol://a=1&b=hello#world
2)在“任务管理器”的“进程”面板中,定位到客户端程序,查看“命令行”列的内容;
如图所示,可以看到程序实际接收到的内容,与原始内容对比后,可以发现在“#”前多出了一个斜杠,应该是因为“#”在网址中有特殊意义(hash),系统自动加的。
3)再次构造自定义协议链接,这次在其中多添加一些“#”;
myprotocol://#?a=1&b=he#llo#wor#ld
如图所示,可以看到只有第一个“#”会被添加斜杠,后续的“#”不受影响。
解决方案
1)在构造自定义协议地址时,对参数值进行编码处理,然后在客户端进行解码。
如果在最初开发阶段,这个方案无疑是比较好的。
但现在项目已经使用了一段时间了,这个方案需要同时修改网页端和客户端才行,如果网页端更新了,但是客户端没更新,那么用户使用还是会出问题。
2)在构造自定义协议地址时,在前面使用一个“#”,以确保后面的“#”不被修改。
这个方案只是针对性的解决“#”带来的问题,并不能消除其他特殊字符带来的影响。