openresty的unescape_uri函数处理百分号后面字符的小特性

栏目: 服务器 · Nginx · 发布时间: 6年前

内容简介:我们的 WAF (Web Application Firewall)是搭建在 nginx 上,使用 lua modules 来实现的。也就是源字符串:openresty的unescape_uri函数处理后结果

我们的 WAF (Web Application Firewall)是搭建在 nginx 上,使用 lua modules 来实现的。也就是 openresty 的 luajit 功能来实现WEB 攻击判断。

问题描述

源字符串:

/aa%20a?openId=%%3Cscript%3E%

openresty的unescape_uri函数处理后结果

/aa a?openId=%3Cscript>

期望的结果:

/aa a?openId=%<script>%

问题现象:

转义不对;丢了百分号。

如何重现

通过浏览器,构造一个包含如上特征的 uri,按回车提交到 nginx? 浏览器会自动把字符串转码吗?转码是按照什么规范来的?IE9、IE10、chrome、safari是分别如何处理的? 习惯用postman的人,知道postman是否会escape uri呢?

如果你忽略了这一点,那么会对你的测试造成很大的影响,耽误时间经历,让你在重试阶段都对问题产生了怀疑。

从HTTP协议角度考虑,只要确保通过协议发送到 http server 的请求中,uri 是符合我们需要的即可。至于浏览器的 escape做法,可以忽略,直接构造 http 协议来重现。

  • 重现时,通过浏览器 提交「问题字符串」,在 nginx 层 输出 unescape 后的结果。
  • 注意浏览器是否对 URI 进行了 URI_ENCODE,不同浏览器执行的 RFC 标准也不一样。
  • 最根本的方式是,跳过浏览器,直接构造 http request 包,确保源字符串完整发送只 nginx。
关注微信公众号,手机阅读更方便: 程序员的阅微草堂 openresty的unescape_uri函数处理百分号后面字符的小特性

以上所述就是小编给大家介绍的《openresty的unescape_uri函数处理百分号后面字符的小特性》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

HTTP Developer's Handbook

HTTP Developer's Handbook

Chris Shiflett / Sams Publishing / 2003-3-29 / USD 39.99

The largest group with an unsatisfied demand for a good book on HTTP is the worldwide group of Web developers. A good book on HTTP can help new and old Web developers alike, as a thorough understandin......一起来看看 《HTTP Developer's Handbook》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

随机密码生成器
随机密码生成器

多种字符组合密码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器