问题标签 [url]

给定两条绝对路径，例如

如何创建以第二条路径为基础的相对路径？在上面的示例中，结果应该是：./stuff/xyz.dat

我们有一个高度安全的应用程序，我们希望允许用户输入其他用户可以看到的 URL。

这引入了 XSS 黑客攻击的高风险 - 用户可能会输入另一个用户最终执行的 javascript。由于我们持有敏感数据，因此永远不会发生这种情况至关重要。

处理此问题的最佳做法是什么？任何安全白名单或逃逸模式是否足够好？

关于处理重定向的任何建议（例如，在跟随链接之前的警告页面上的“此链接超出我们的站点”消息）

是否存在根本不支持用户输入链接的论点？

澄清：

基本上我们的用户想要输入：

stackoverflow.com

并将其输出给另一个用户：

我真正担心的是他们在 XSS 黑客中使用它。即他们输入：

alert('被黑了！');

所以其他用户得到这个链接：

我的例子只是为了解释风险——我很清楚 javascript 和 URL 是不同的东西，但是通过让他们输入后者，他们可能能够执行前者。

你会惊讶于这个技巧可以破坏多少个网站——HTML 更糟糕。如果他们知道处理链接，他们是否也知道清理<iframe>和<img>巧妙的 CSS 引用？

我在一个高度安全的环境中工作——一次 XSS 黑客攻击可能会给我们带来非常高的损失。我很高兴我可以生成一个正则表达式（或使用迄今为止最好的建议之一），它可以排除我能想到的所有内容，但这是否足够？

我一直在为 URL 寻找一个简单的正则表达式，有人有一个很好用的吗？我没有找到一个带有 zend 框架验证类的类，并且已经看到了几个实现。

我正在尝试检测用户现在正在查看的共享点中的哪个网站。一种方法是从浏览器读取 URls，并尝试将它们与共享点解决方案的参考 URL 进行比较。我还没有找到任何适用于 IE 和 Firefox 的解决方案。

这个想法是编写一个小型 C# 应用程序来收集 URL 并进行比较。

TIA

是否可以通过查看动作 bean 上的 @UrlBinding 注释并将这些动作 bean 转发到预编译的 JSP/servlet 而不需要定义和维护 <servlet> <servlet- web.xml 中的映射> 对？基本上，我只想维护 @UrlBinding 注释作为可用 webapp 路径的唯一决定因素。

也许有一种方法可以将 Jasper 指向我的 servlet 所在的位置并自动加载它们，而无需显式定义每一个？

实现这一点的特定方式并不重要，只是我离开了显式 servlet web.xml 依赖项。

我应该如何格式化带有特殊/国际字符的 URL？

目前，我尝试使 URL “看起来不错”，以便：

转换为：

我知道可以转换一些国际字母（ü = ue，æ = ae，å = aa），可以删除一些字符。我一般会尝试使 URL 看起来“不错”，但这很愚蠢吗？

但是，与我们的西方 ASCII 格式无关的中文、日文、阿拉伯字母怎么办？

我真的不喜欢用十六进制代码重写 URL 的想法，所以现在如果 url 包含太多“不可转换”字符，我只使用我的内部唯一 ID。

使用时收到以下警告java.net.URLEncoder.encode：

我应该改用什么？

哪个更好（对于用户，对于长寿，对于性能，无论什么）：

http://{site}/{login} 例如http://wildobs.com/adam_jack

或者

http://{site}/user/{login}

前者的优点：

• 用户感觉更特别。
• URL 更短。

前者的缺点：

• 不能让用户登录匹配关键字，并且关键字可能会随着时间的推移而增长。

显然，这对于正确（或错误并坚持）很重要，因为所有用户定义的 URL 都基于它。改变它似乎是网站自杀。

缺点（尤其是随着时间的推移）是否超过优点？

我正在开发一个遗留应用程序，无论出于何种原因，它都试图将 URL 编码的尖括号填充到 URL 中。例如，要获取以“<sometext>”结尾的 URL：

http://somesite.com/somefolder/%3csometext%3e

当获取上述 URL 编码的 URL 时，它会在 IIS6 上生成 400 错误（错误请求），我不太明白为什么。可能很简单，但我很难过。

想法？谢谢。

是否有内置方法可以在 Excel VBA 中对字符串进行 URL 编码，还是我需要手动滚动此功能？