- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
如果我有一个像 <a href="www.exam ple.com">
这样的 href 属性,点击输出链接的结果是www.exam%20ple.com
,预计不会向我发送 www.example.com
.如果我使用不间断空格字符 (U+00A0) 或 en-quad (U+2000)(再次以 www.exam%20ple.com
作为输出),我也会得到完全相同的输出。我认为这是因为两者都被 HTML 以某种方式解释为标准空白字符 (U+0020)。
现在,没有意义的是,如果我将空格字符替换为制表符,即 <a href="www.exam ple.com">
, 单击链接成功并将我定向到 www.example.com
.我最初是在尝试调用 XSS 存储的 javascript 漏洞时遇到这个问题的,其中各种符号被转义并且“javascript”的输入被清理。当我意识到使用选项卡将“javascript”分隔为“java 脚本”允许我调用我的脚本时,我很高兴,但也非常惊讶。为什么会这样?
最佳答案
空格或制表符在域名中永远无效,只有在您的客户端/浏览器在使用之前对输入宽容时才会被接受。感谢用户 2864740。
关于html - HTML 链接究竟是如何解释的?制表符是否特殊?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29294685/
Feel free to skip straight to TL/DR if you're not interested in details of the question 简短的序言: 我最近决定
我一直在阅读 A Tour of Go学习Go-Lang到目前为止一切顺利。 我目前在 Struct Fields类(class),这是右侧的示例代码: package main import "fm
Last time I got confused顺便说一下PowerShell急切地展开集合,基思总结了它的启发式如下: Putting the results (an array) within a
我是一名优秀的程序员,十分优秀!