对于 URL 参数名称中允许使用哪些字符有任何正式限制吗?
我一直在阅读RFC3986(“统一资源标识符(URI):通用语法”),但没有得出明确的结论。
我知道有实际限制,但实际上是否会禁止这样做:
param with\funny=some_value
只要我正确转义:
param%20with%1cfunny%3cchars%3e=some_value
【问题讨论】:
标签: http url character-encoding specifications
URI 规范中对转义参数名称没有限制。但是,您使用的服务器端软件可能存在限制。如果您使用“自制”脚本来解释 URI,则尤其如此。
【讨论】:
& 作为分隔符只是一种约定;可以使用其他的,例如, 和 ; 过去经常被使用。此外,许多服务器引擎(PHP、Rails……)支持嵌套参数,因此这将是一个合法的带有查询的 URI:example.com/?a=b;c[1]=x;c[2]=y……许多 Web 应用程序实际上使用这种查询表示法来处理表单数据(选项、复选框……)获取类似数组的数据。
2017-10-15.jpg,我希望它在我将showplot.htm?dt=2017-10-15 与Javascript 行document.write('<img src="' + dt + '.jpg"/>') 一起使用时显示 - 但它不起作用。它显示除了我尝试像这样连接的行之外的所有内容。是因为它不能处理连字符吗?
您还应该阅读RFC2396。它似乎比 RFC3986 提供更多信息。
【讨论】:
网址有保留字符,但只要你转义(urlencode)就可以了。
根据所使用的框架,如果您尝试提交可疑值,您可能会遇到异常。 ASP.NET 具有内容过滤功能,如果您尝试提交“不安全”数据(如脚本或 HTML),则会引发异常。这是框架的一个特性,而不是 URL 语法强制执行的限制或规则。
【讨论】:
根据RFC 2396,参数名称和值可以包含大写/小写字母、十进制数字和 -_.!~*'() 字符。 其他一切都需要逃脱。
【讨论】:
/ ? : @ - . _ ~ ! $ & ' ( ) * + , ; =