UTF-8-Zeichen in URLs

Ich stolperte auf den folgenden Artikel:

http://www.josscrowcroft.com/2011/code/utf-8-multibyte-characters-in-url-parameters-%E2%9C%93/

Der Artikel spricht über die Verwendung von UTF-8-Zeichen in URLs.

Ich würde gerne wissen, ob es sicher ist, es zu benutzen.

Ich habe im Grunde das gleiche setup (browser + OS), während der Typ, der den Artikel geschrieben hat. Ich kann also nicht wirklich testen.

Also... ist es sicher, dass UTF-8 Zeichen in der URL ist?

Und die bonus-Frage: Wenn es sicher ist, wie kommen nicht viele Webseiten es nutzen?

InformationsquelleAutor PeeHaa | 2011-07-08
  1. 5

    Unicode-Zeichen in der url (ich spreche nicht über den Domainnamen) sind sicher zu verwenden. Es ist kein Sicherheitsrisiko, wenn Sie Sie auf Ihre Website. (Es gibt einige Risiken für den Endbenutzer, wenn er besucht eine gefälschte Website, die mithilfe von unicode auf der Seite als Oded gesagt).

    Das einzige wirkliche problem ist, wie bei älteren Browsern (und Betriebssystemen) anzeigen. Browsern nicht unterstützt wird, zeigen diese hässlichen Prozentsatz codierte Zeichen in der url. Sie wahrscheinlich auch haben, um Prozentsatz-Kodieren des urls in der html-im Fall von älteren Browsern nicht codieren es für Sie und die Benutzer können nicht Folgen Sie dem link (das ist schlecht). Moderne Browser zeigen die dekodierte url in die addressbar, sondern die codierte version um die Anfrage zu senden, so dass der Benutzer immer sieht das ziemlich unicode-Zeichen.

    • Ich bin einverstanden mit dieser Antwort. Wie für browser-Unterstützung ist diese Frage im Zusammenhang: stackoverflow.com/questions/7962110/browser-support-unicode-url
    • Es ist definitiv nicht "sicher" ist. Es gibt keinen standard für die Verwendung des URL-kodierte UTF-8-Zeichen und es gibt keine Möglichkeit der Angabe eines Zeichensatzes für nicht-ascii-Zeichen. Sie sind frei zu verwenden, was URL-codierte Zeichen, die Sie mögen, aber es gibt absolut keine Garantie, dass alle browser interpretieren oder zeigen Sie Sie in einer bestimmten Weise, und das ist nicht überraschend, YMMV.
    • Guter Punkt. Ich kann zwar nichts finden in der URL, URI oder IRI-spec über Zeichen-Kodierungen andere als ascii.
    • Es ist ein Kommentar der Einsatz in RFC3986: "...eine URI wird davon ausgegangen, dass in die gleiche Zeichenkodierung wie der umgebende text" - so könnte man UTF-8 in URLs im UTF-8-HTML-Dokuments, und einen user-agent würde wissen, was zu tun mit Ihnen, aber sobald es nicht in das Dokument (z.B. text, es jemand) es verliert, dass kontextuelle Metadaten und kann nur in ASCII. Es sagt auch, dass ein Protokoll definieren können, die eine Kodierung explizit, aber HTTP nicht tun (gut tut es, aber es ist ASCII).
    InformationsquelleAutor Gerben
  2. 1

    Ist es möglich, mit jedem browser, der unterstützt IDN.

    Jedoch IDN wird nicht gut unterstützt auf den verschiedenen web-Servern und proxies und andere internet-Infrastruktur, damit die meisten Websites nicht unterstützen können, und Sie werden sicher, die Menschen bekommen können, um Sie...

    Und, wie @Rook spielt auf, es gibt immer noch Sicherheits-Probleme bei der Verwendung von UTF-8 auf diese Weise (XSS zum Beispiel).

    • Haben Sie Beispiele bezüglich UTF-8 und XSS?!
    • Lesen Sie diese: owasp.org/index.php/Cross-site_Scripting_(XSS)
    • Wie könnte die Infrastruktur des Proxys haben Probleme mit idn. Domainnamen sind Konverter, um punicode, die 100% kompatibel mit älteren schwanken. Unicode innerhalb der Pfad-Anteil kodiert byte für byte. Prozentsatz Codierung ist so alt wie HTTP, so sollte auf jedem system. Vielleicht manche Webserver haben möglicherweise Probleme mit ihm, vor allem, da die anzeigen-urls auf das Dateisystem, die möglicherweise keine Unterstützung für unicode-Dateinamen.
    • Diese Frage ist nur indirekt zu tun mit IDN. IDN gilt nur für domain-Namen, nicht andere Elemente in der URL. Es gibt keine Besondere Beziehung zwischen IDN und URL-kodierte Zeichen.
    InformationsquelleAutor Oded
  3. -7

    UTF-8 hat noch einen langen Weg zu gehen ... definitiv nicht sicher.

    Und kulturell, ich mag es, dass Weg. Ich kann mir nicht vorstellen zu schreiben/erinnern URL-Adresse aus chinesischen Schriftzeichen, oder Sie das gleiche tun.

    • Wann haben Sie jemals haben, zu erinnern, die query-Teil einer URL? Er spricht nicht über UTF8-domain-Namen (die auch existieren btw: öbb.bei) - und so ist es sicher davon ausgehen, dass niemand alle manuell geben Sie die Zeichen.
    InformationsquelleAutor Rook
Schreibe einen Kommentar