เครื่องหมายทวิภาค `:` ปลอดภัยสำหรับการใช้ URL ที่จำง่ายหรือไม่?

เรากำลังออกแบบระบบ URL ที่จะระบุส่วนของแอปพลิเคชันเป็นคำที่คั่นด้วยเครื่องหมายทับ โดยเฉพาะสิ่งนี้อยู่ใน GWT ดังนั้นส่วนที่เกี่ยวข้องของ URL จะอยู่ในแฮช (ซึ่งจะถูกตีความโดยเลเยอร์คอนโทรลเลอร์ในฝั่งไคลเอ็นต์):

http://site/gwturl#section1/section2

บางส่วนอาจต้องการแอตทริบิวต์เพิ่มเติมซึ่งเราต้องการระบุด้วย a :เพื่อให้ส่วนของ URL ไม่คลุมเครือ รหัสจะแยกออกก่อน/จากนั้นจึงเปิด:ดังนี้:

http://site/gwturl#user:45/comments

แน่นอนว่าเรากำลังทำสิ่งนี้เพื่อความเป็นมิตรกับ URL ดังนั้นเราจึงต้องการให้แน่ใจว่าไม่มีอักขระใดที่จะมีความหมายพิเศษจะถูกเข้ารหัส URL โดยเบราว์เซอร์หรือระบบอื่น ๆ และลงท้ายด้วย url เช่น นี้:

http://site/gwturl#user%3A45/comments <--- BAD

การใช้โคลอนด้วยวิธีนี้ปลอดภัยหรือไม่ (ซึ่งฉันหมายถึงจะไม่ถูกเข้ารหัสโดยอัตโนมัติ) สำหรับเบราว์เซอร์ระบบบุ๊กมาร์กแม้แต่โค้ด Javascript หรือ Java

ฉันเพิ่งเขียนตัวเข้ารหัส URL ดังนั้นสิ่งนี้จึงค่อนข้างสดใหม่ในความคิดของฉัน

http://site/gwturl#user:45/comments

อักขระทั้งหมดในส่วนแฟรกเมนต์ ( user:45/comments) ถูกต้องตามกฎหมายสำหรับRFC 3986 URI

ส่วนที่เกี่ยวข้องของABNF :

fragment      = *( pchar / "/" / "?" )
pchar         = unreserved / pct-encoded / sub-delims / ":" / "@"
unreserved    = ALPHA / DIGIT / "-" / "." / "_" / "~"
pct-encoded   = "%" HEXDIG HEXDIG
sub-delims    = "!" / "$" / "&" / "'" / "(" / ")"
                 / "*" / "+" / "," / ";" / "="

นอกเหนือจากข้อ จำกัด เหล่านี้ส่วนแฟรกเมนต์ยังไม่มีโครงสร้างที่กำหนดไว้นอกเหนือจากที่แอปพลิเคชันของคุณมอบให้ แบบแผน http บอกเพียงว่าคุณไม่ได้ส่งส่วนนี้ไปยังเซิร์ฟเวอร์

แก้ไข:

โธ่!

แม้จะมีการยืนยันของฉันเกี่ยวกับข้อมูลจำเพาะ URI, irreputableให้คำตอบที่ถูกต้องเมื่อเขาชี้ให้เห็นว่าองค์ประกอบ HTML 4 ชื่อสเปคที่

หมายเหตุว่ากฎระบุจะมีการเปลี่ยนแปลงใน HTML 5 จะยังคงมีข้อ จำกัด URI (ในขณะที่เขียนมีปัญหาที่ยังไม่ได้รับการแก้ไขเกี่ยวกับการใช้ URI ของ HTML 5)

นอกเหนือจากการวิเคราะห์ของ McDowell เกี่ยวกับมาตรฐาน URI แล้วโปรดจำไว้ด้วยว่าส่วนย่อยต้องเป็นชื่อ anchor HTML ที่ถูกต้อง อ้างอิงจากhttp://www.w3.org/TR/html4/types.html#type-name

โทเค็น ID และ NAME ต้องขึ้นต้นด้วยตัวอักษร ([A-Za-z]) และอาจตามด้วยตัวอักษรตัวเลข ([0-9]) ขีดกลาง ("-") ขีดล่าง ("_") , เครื่องหมายทวิภาค (":") และจุด (".")

ดังนั้นคุณโชคดี ":" ได้รับอนุญาตอย่างชัดเจน และไม่มีใครควร "%" - หลีกเลี่ยงไม่เพียงเพราะ "%" เป็น char ที่ผิดกฎหมายเท่านั้น แต่ยังเป็นเพราะส่วนย่อยต้องตรงกับชื่อ anchor char-by-char ดังนั้นจึงไม่ควรมีตัวแทนพยายามที่จะยุ่งเกี่ยวกับพวกเขาในทางใดทางหนึ่ง

อย่างไรก็ตามคุณต้องทดสอบ ไม่ปฏิบัติตามมาตรฐานเว็บอย่างเคร่งครัดบางครั้งมาตรฐานอาจขัดแย้งกัน ตัวอย่างเช่น HTTP / 1.1 RFC 2616 ไม่อนุญาตให้ใช้สตริงการสืบค้นใน URL คำขอในขณะที่ HTML สร้างขึ้นเมื่อส่งแบบฟอร์มด้วยเมธอด GET สิ่งใดก็ตามที่ดำเนินการในโลกแห่งความเป็นจริงจะชนะในตอนท้ายของวัน

มีเดียวิกิและเอ็นจินวิกิอื่น ๆ ใช้โคลอนใน URL เพื่อกำหนดเนมสเปซโดยไม่มีปัญหาสำคัญ

เช่นhttp://en.wikipedia.org/wiki/Template:Welcome

ฉันจะไม่นับมัน มีแนวโน้มว่าจะได้รับการเข้ารหัส URL %3Aโดยตัวแทนผู้ใช้จำนวนมาก

จากURLEncoderjavadoc:

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเข้ารหัสรูปแบบ HTML, ให้คำปรึกษาแบบ HTML เปค

เมื่อเข้ารหัสสตริงจะใช้กฎต่อไปนี้:

• อักขระที่เป็นตัวเลขและตัวอักษร "a" ถึง "z", "A" ถึง "Z" และ "0" ถึง "9" จะยังคงเหมือนเดิม
• อักขระพิเศษ ".", "-", "*" และ "_" ยังคงเหมือนเดิม
• อักขระเว้นวรรค "" จะถูกแปลงเป็นเครื่องหมายบวก "+"
• อักขระอื่น ๆ ทั้งหมดไม่ปลอดภัยและก่อนอื่นจะถูกแปลงเป็นไบต์อย่างน้อยหนึ่งไบต์โดยใช้รูปแบบการเข้ารหัสบางอย่าง จากนั้นแต่ละไบต์จะแสดงด้วยสตริง 3 อักขระ "% xy" โดยที่ xy คือการแสดงเลขฐานสิบหกสองหลักของไบต์ รูปแบบการเข้ารหัสที่แนะนำให้ใช้คือ UTF-8 อย่างไรก็ตามด้วยเหตุผลด้านความเข้ากันได้หากไม่ได้ระบุการเข้ารหัสระบบจะใช้การเข้ารหัสเริ่มต้นของแพลตฟอร์ม

นั่นคือ:ไม่ปลอดภัย

ฉันไม่เห็น Firefox หรือ IE8 เข้ารหัสURLของ Wikipedia บางตัวที่มีอักขระ

โคลอนถูกใช้เป็นตัวแบ่งระหว่างชื่อผู้ใช้และรหัสผ่านหากโปรโตคอลต้องการการตรวจสอบสิทธิ์

ลำไส้ใหญ่ไม่ปลอดภัย ดูที่นี่

ไม่ใช่อักขระที่ปลอดภัยและใช้เพื่อแยกแยะว่าพอร์ตใดที่คุณเชื่อมต่อเมื่ออยู่หลังชื่อโดเมนของคุณ