示例端点:
https://localhost:4200/test/index.html?param1=username%2passw0rd&baseApi=https://someOtherService/APIBase.jsp?INT/
当我点击上面的端点时。我的网址被转换成这个...
https://localhost:4200/test/index.html?param1=username%2passw0rd&baseApi=https:%2F%2FsomeOtherService%2FAPIBase.jsp
正如您在 baseApi 参数中看到的那样,“/”被转换为“%2F”,并且值“?INT/”也被删除了。
如何防止 URL 转换“/”并为第二个参数“baseApi”中的值保留“?INT/”值。
【问题讨论】:
标签: angular
你没有。如果允许,它将破坏互联网。
更多细节:
关于第 1 点:情况并非总是如此,许多 API 框架会自动解码查询字符串。
如果您需要传递完整的 URL,请确保正确编码:
console.log("https://localhost:4200/test/index.html?" + encodeURIComponent("param1=username%2passw0rd&baseApi=https://someOtherService/APIBase.jsp?INT/"));
https://localhost:4200/test/index.html?param1%3Dusername%252passw0rd%26baseApi%3Dhttps%3A%2F%2FsomeOtherService%2FAPIBase.jsp%3FINT%2F
【讨论】:
您不能也不应该试图阻止特殊字符被转换。正确的方法是在发送用户之前故意对其进行编码,然后在读取数据之前对其进行解码。如果您使用的是 javascript,那么您可以通过 encodeURIComponent(string) 和 decodeURIComponent(string) 执行此操作。
encodeURIComponent() 将接受任何字符串,并将其转换为 URL 友好格式。
decodeURIComponent() 将采用转换后的字符串,并将其改回常规格式。
至于原因为什么你不应该试图阻止它们被转换.....我将在这里引用 Mozilla:
For example, if a user writes "Jack & Jill", using encodeURIComponent the text will get encoded as "Jack %26 Jill". Without encoding, the ampersand could be interpreted on the server as the start of a new field and jeopardize the integrity of the data.
换句话说,假设您在 URL 中允许使用符号,并且有人创建了一个名为“Jack&baseApi=evilURL”的用户名。你的网址最终会是
http://localhost:4200?username=Jack&baseApi=evilURL&baseApi=https://someOtherService
我不想站在你的服务器上,试图猜测正确的 baseApi 是“evilURL”还是“someOtherService”。
【讨论】: