内容简介:我们的 WAF (Web Application Firewall)是搭建在 nginx 上,使用 lua modules 来实现的。也就是源字符串:openresty的unescape_uri函数处理后结果
我们的 WAF (Web Application Firewall)是搭建在 nginx 上,使用 lua modules 来实现的。也就是 openresty 的 luajit 功能来实现WEB 攻击判断。
问题描述
源字符串:
/aa%20a?openId=%%3Cscript%3E%
openresty的unescape_uri函数处理后结果
/aa a?openId=%3Cscript>
期望的结果:
/aa a?openId=%<script>%
问题现象:
转义不对;丢了百分号。
如何重现
通过浏览器,构造一个包含如上特征的 uri,按回车提交到 nginx? 浏览器会自动把字符串转码吗?转码是按照什么规范来的?IE9、IE10、chrome、safari是分别如何处理的? 习惯用postman的人,知道postman是否会escape uri呢?
如果你忽略了这一点,那么会对你的测试造成很大的影响,耽误时间经历,让你在重试阶段都对问题产生了怀疑。
从HTTP协议角度考虑,只要确保通过协议发送到 http server 的请求中,uri 是符合我们需要的即可。至于浏览器的 escape做法,可以忽略,直接构造 http 协议来重现。
- 重现时,通过浏览器 提交「问题字符串」,在 nginx 层 输出 unescape 后的结果。
- 注意浏览器是否对 URI 进行了 URI_ENCODE,不同浏览器执行的 RFC 标准也不一样。
- 最根本的方式是,跳过浏览器,直接构造 http request 包,确保源字符串完整发送只 nginx。
以上所述就是小编给大家介绍的《openresty的unescape_uri函数处理百分号后面字符的小特性》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- YCProgress自定义百分比进度条
- 如何开发一个百分比饼状图动画
- javascript – 具有百分比宽度的jQuery砖石
- relative 和 absolute 元素的百分比定位
- 技术攻坚,行业落地,百分点大力拓展认知智能蓝图
- 推荐引擎数百分片 Redis 使用时需要注意的事
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
