在URL传输过程中解析问题url_encode+号
背景:客户端登陆,密码需要,加密处理,⾮明⽂传输。加密后的字符串中含有" + “,并且传输时使⽤ url encode 编码,字符串编码为含有 " %2B"。但是后端服务收到的值,有且仅有" %2B "⾃动解析为了" + "。服务端使⽤URL decode 解密,把" + " 号解析为了空格。导致解析数据错误,加密字符串逆向解析失败。
(⽂字描述,⽣涩,数据直观)
案例:
客户端登陆,密码采⽤3DES加密(可逆向解密),3DES中对字符串进⾏了base64编码,base64中存在 + 号元素。
在线url网址编码解码客户端:
1、password: 3RS+mul/ulA4Y7jWB6rgig== (3DES加密后的值)
2、url传输需要 urlencode: 3RS%2Bmul%2FulA4Y7jWB6rgig%3D%3D (URL encode 对数据“ + ”进⾏了 “%2B” 编码 )
传输:通过GET 或则 POST
服务端:
1、(期望)接收值password:3RS%2Bmul%2FulA4Y7jWB6rgig%3D%3D
2、(实际)接收值password:3RS+mul%2FulA4Y7jWB6rgig%3D%3D
⚠ 对⽐: 期望值 和 实际值 有且仅有%2B ⾃动解析为 + 号,其他值并未⾃动解析。服务端再次 URL decode ," + " 号变为了 空
(理想和现实终是有差距)
解决:
⽅案⼀:客户端两次urlencode(urlencode(string)),把3RS%2Bmul%2FulA4Y7jWB6rgig%3D%3D,再次编码,后端同样操作,逆向解码,有的服务可能会再接值的时候,主动解码⼀次,那么只需要解码⼀次。如果没有主动解码⼀次,就需要程序解码两次。
⽅案⼆:因本案例,知道是由base64_encode,导致的+ 号产⽣,那么在服务端,接到值之后,把" + "号再次替换为" %2B ",然后解析正常。
注意:当进⾏URLEncode加密过的参数通过浏览器请求时,浏览器会⾃动URLDecode解密⼀次 。并且对于"%" 、 "+" 等特殊字符有不同的处理
备注:
base64_encode 编码部分源码:
static const char base64_table[] = {
'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M',
'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z',
'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm',
'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z',
'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', '+', '/', '\0'
};
我为⼈⼈,⼈⼈为我,美美与共,天下⼤同。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论