Можно ли не использовать percent‐encoding в ссылках? -> Форум на Исходниках.Ру

	Наши проекты: Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту

Здравствуйте, Гость ! [3.17.5.68]

Прежде чем задать вопрос, полистайте форум и загляните в FAQ!

Модераторы: Vasya2000, Serafim, fatalist

Новое голосование

Можно ли не использовать percent‐encoding в ссылках? , Насколько это валидно, нет ли скрытых опасностей типа XSS инъекций, если ссылки добавляются пользователями на форуме?

S.Eugene

Сообщ. #1 , 04.03.15, 07:11

Full Member

Профиль · PM

Поощрения: 1 Dgm

Рейтинг (т): 1

Можно ли не использовать percent‐encoding в ссылках, т.е. в href писать кириллицей и другими буквенными символами, которые подпадают под \w в регулярных выражениях php? Насколько это валидно, нет ли скрытых опасностей типа XSS инъекций, если ссылки добавляются пользователями на форуме?

Вот пример نشانی_وب

Сообщение отредактировано: S.Eugene - 04.03.15, 07:16

Serafim	Сообщ. #2 , 04.03.15, 09:41
Moderator Профиль · PM Рейтинг (т): 79	Как видишь сейчас уже нету, т.е. можно экранировать лишь 5 символов - `\`, `?`, `&`, `#`, `/` (помимо `>`, `<`, `'` и `"`). Но предлагаю посмотреть как конвертируются ссылки, например в медиавики движке - думаю это практически эталон.

S.Eugene	Сообщ. #3 , 05.03.15, 00:14
Full Member Профиль · PM Поощрения: 1 Dgm Рейтинг (т): 1	Цитата Serafim @ 04.03.15, 09:41 Как видишь сейчас уже нету, т.е. можно экранировать лишь 5 символов - `\`, `?`, `&`, `#`, `/` А их зачем экранировать? Какая опасность?

Serafim	Сообщ. #4 , 05.03.15, 00:17
Moderator Профиль · PM Рейтинг (т): 79	это составляющие url-адреса Добавлено 05.03.15, 00:18 ещё двоеточие, забыл про него =)

S.Eugene

Сообщ. #5 , 05.03.15, 00:22

Full Member

Профиль · PM

Поощрения: 1 Dgm

Рейтинг (т): 1

Цитата Serafim @ 05.03.15, 00:17

это составляющие url-адреса

Вы имеете ввиду, их надо экранировать, если надо передать их буквально? Но мой главный вопрос не в этом. Мне все равно, корректные ли данные несет урл. Меня волнует безопасность от XSS и валидность html кода. Короче говоря, какие символы можно разрешать вносить пользователям в тег [url=] ?

Сообщение отредактировано: S.Eugene - 05.03.15, 00:24

Serafim

Сообщ. #6 , 05.03.15, 13:03

Moderator

Профиль · PM

Рейтинг (т): 79

Цитата S.Eugene @ 05.03.15, 00:22

какие символы можно разрешать вносить пользователям в тег [url=] ?

имхо любые, кроме ">". А вообще у пыха и жс есть встроенные функции экранирования, подозреваю что у питонки, рубей и прочих - альтернатива найдётся.

S.Eugene	Сообщ. #7 , 05.03.15, 14:29
Full Member Профиль · PM Поощрения: 1 Dgm Рейтинг (т): 1	Цитата Serafim @ 05.03.15, 13:03 имхо любые, кроме ">". Еще как минимум `"` Если [url=X] преобразуется в <a href="X"> То [url=http://ya.ru" OnClick="alert('bad')] преобразуется в <a href="http://ya.ru" OnClick="alert('bad')">

Serafim	Сообщ. #8 , 05.03.15, 20:11
Moderator Профиль · PM Рейтинг (т): 79	Ну да. Добавлено 05.03.15, 20:13 А чем уже существующие реализации не устраивают, например: https://packagist.org/packages/mjohnson/decoda? Что за язык кстати? А то я тут привожу в пример похапе...

0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)

0 пользователей:

[ Script execution time: 0,0259 ] [ 15 queries used ] [ Generated: 2.05.24, 15:13 GMT ]