在 CodeIgniter 中允许 URL 中的任何字符

Posted

技术标签:

【中文标题】在 CodeIgniter 中允许 URL 中的任何字符【英文标题】:Allowing any character in the URL in CodeIgniter 【发布时间】:2011-05-09 09:32:20 【问题描述】:

我正在使用 CodeIgniter php 框架。我用JS动态加载一个PHP页面:

$('someIFrame').writeAttribute(
   'src',
   '/index.php/controller/method/' +
   escape(userGeneratedString)
);

当我运行这个时,CodeIgniter 给了我这个错误:

http://192.168.0.81/index.php/controller/method/dude%27s%20face
An Error Was Encountered
The URI you submitted has disallowed characters.

这完全不正确,因为相关 URL 不包含任何不允许的字符。我的配置文件允许该 URL 中存在的所有字符:

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';

所以我很沮丧,只允许所有字符来防止错误。

// Leave blank to allow all characters -- but only if you are insane.
// DO NOT CHANGE THIS UNLESS YOU FULLY UNDERSTAND THE REPERCUSSIONS!!
//$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
$config['permitted_uri_chars'] = '';

这条线上方的警告信息听起来很吓人。允许所有字符可能会出现什么问题?我会被黑客入侵吗?

【问题讨论】:

参见Information Security: Why is it dangerous to allow all characters in a URL? 【参考方案1】:

codeigniter 中的 url 是 urldecoded,因此 %27 转换为 ',它不在您的允许字符列表中,因此触发了错误。所以你需要允许字符解码一次。 换句话说,当 codeigniter 看到你 %27 时,它已经被解码为 '

Source

【讨论】:

以上是关于在 CodeIgniter 中允许 URL 中的任何字符的主要内容,如果未能解决你的问题,请参考以下文章

检查 codeigniter 文件上传中允许的类型

如何在 codeigniter form_validation 类中允许空值或数值?

如何在 Azure 中允许 URL 编码的路径段

在 Flask 中允许 CORS

在 Spring 安全性中允许除一个之外的所有 URL

如何在 WebView Flutter 中允许 mailto 和 tel URL 方案?