6.4.12 编码误用

我们在第1章中提到过,URL语法在RFC 3986中定义(链接参见“参考和延伸阅读”小节)。这个RFC还定义了多种编码URL的方法,编码之后的字符与编码之前完全不同,但是意义完全一致。攻击者在Web的历史上常常利用这种灵活性,构成越来越高级的绕过输入校验的技术。表6-4列出了攻击者最常采用的编码技术和一些例子。

表6-4 攻击者常用的URL编码技术