JoJ*_*oJo 5 javascript php security url codeigniter
我正在使用CodeIgniter PHP框架.我使用JS动态加载PHP页面:
$('someIFrame').writeAttribute(
'src',
'/index.php/controller/method/' +
escape(userGeneratedString)
);
当我运行它时,CodeIgniter给了我这个错误:
http://192.168.0.81/index.php/controller/method/dude%27s%20face
An Error Was Encountered
The URI you submitted has disallowed characters.
这完全是不真实的,因为有问题的URL不包含任何不允许的字符.我的配置文件允许该URL中存在的所有字符:
$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
所以我感到沮丧,只是允许所有字符来防止错误.
// Leave blank to allow all characters -- but only if you are insane.
// DO NOT CHANGE THIS UNLESS YOU FULLY UNDERSTAND THE REPERCUSSIONS!!
//$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
$config['permitted_uri_chars'] = '';
这条线上方的警告信息听起来很吓人.允许所有角色可能出错?我会被黑客攻击吗?
codeigniter中的url是urldecoded,因此%27转换为'不在允许的字符列表中,因此触发了错误.因此,您需要在解码后允许字符.换句话说,当codeigniter看到你的时候%27,它已经被解码成了一个'.