个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我的代码中目前有 strtoupper($_SERVER['REQUEST_METHOD'])。
但是 strtoupper 调用有必要吗? $_SERVER['REQUEST_METHOD'] 是否已保证为大写?
最佳答案
简短回答:不,不能保证,但通常收到非大写 HTTP 方法意味着客户端违反了规范。
如果您正在处理 W3 规范定义的方法,例如 GET 和 POST,那么您可以保证符合规范的客户端将以大写形式向您发送它们。这是因为 HTTP 方法是 defined as case-sensitive ...
The Method token indicates the method to be performed on the resource identified by the Request-URI. The method is case-sensitive.
以及 W3 定义的方法,如 OPTIONS, GET, POST etc.以大写形式定义。
但是,如果您正在处理不符合规范的客户端,则您的网络服务器和 PHP 都不会神奇地将 $_SERVER['REQUEST_METHOD'] 的值强制为大写。这可以通过像这样的简单脚本轻松演示......
<?php
echo "The method used by your request was $_SERVER[REQUEST_METHOD]";
?>
如果我们使用方法不是大写的 HTTP 请求访问该脚本,它将回显非大写的方法。许多常用工具可以让我们做到这一点。例如,让我们从 UNIX shell 中点击它:
$ curl http://localhost/echo_method.php -X GET -w "\n"
The method used by your request was GET
$ curl http://localhost/echo_method.php -X gEt -w "\n"
The method used by your request was gEt
$ curl http://localhost/echo_method.php -X fWoRbLeWoRbLe -w "\n"
The method used by your request was fWoRbLeWoRbLe
...或使用Python:
>>> import httplib
>>> connection = httplib.HTTPConnection('localhost')
>>> connection.request('pOsT', '/echo_method.php')
>>> connection.getresponse().read()
'The method used by your request was pOsT'
“好吧”,您可能会说,“因此,如果我的 API 被编写糟糕的脚本或 native 应用程序使用,则存在潜在的问题。但是我的 API 仅由以下人员使用由网络浏览器中运行的 JavaScript 触发的 AJAX 调用。这个问题对我有影响吗?”
不幸的是,是的。似乎现代浏览器在发送 AJAX 时将大多数标准 HTTP 方法强制为大写,但目前对于自定义 HTTP 方法或尤其是 PATCH method 并没有这样做。 .
这次是在 Chrome JavaScript 控制台中点击之前相同的 PHP 脚本...
var request;
request = new XMLHttpRequest();
request.open("GeT", "http://localhost/echo_method.php", true);
request.send();
request.onreadystatechange = function() {
if (request.readyState == 4) {
console.log(request.responseText);
}
}
产生结果
The method used by your request was GET
但是将 HTTP 方法更改为 pATcH 可以给我们带来
var request;
request = new XMLHttpRequest();
request.open("pATcH", "http://localhost/echo_method.php", true);
request.send();
request.onreadystatechange = function() {
if (request.readyState == 4) {
console.log(request.responseText);
}
}
给我们
The method used by your request was pATcH
更糟糕的是,网络浏览器并不是 will coerce all methods except the PATCH method 的唯一客户端。改为大写。
总结:虽然 HTTP 规范要求请求包含大写的 HTTP 方法(除非它是在不同情况下专门定义的自定义方法),但常见的 Web 工具使前端开发人员很容易犯这个错误,并且 PHP 的 $_SERVER['REQUEST_METHOD'] 变量将不会神奇地强制方法为大写(如果它们这样做的话)。
当然,这取决于您是否希望客户端遵守规范、验证方法是否为大写并以适当的状态代码(可能是 400 或 405)进行响应,如果不是,则返回错误消息,或者通过 strtoupper($_SERVER['REQUEST_METHOD']) 强制方法将自己大写,从而接受大小写不正确的 HTTP 方法,就像此处提问者最初的做法一样。
关于php - $_SERVER ['REQUEST_METHOD' ] 保证是大写吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10766221/
28
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎不是关于 a specific programming problem, a softwar
有没有办法保证您的系统托盘图标被删除? 添加系统托盘图标: Shell_NotifyIcon(NIM_ADD, &m_tnd); 删除系统托盘图标: Shell_NotifyIcon(NIM_DELE
是否保证(-x) % m,其中x和m在c++中为正standard (c++0x) 为负数,等于 -(x % m)? 我知道它在我知道的所有机器上都是正确的。 最佳答案 除了Luchian的回答,这是
可能还有其他方法可以作为示例,但这不是我要问的重点。 我正在这样做: (future (clojure.java.shell/sh "sleep" "3" :dir "/tmp")) 启动对Shell
可以使用 XREAD(或者可能是另一个命令)以原子方式检测数据是否写入 Redis 流? 进一步来说: 假设您在一个进程中将一些数据添加到 Redis 流中,并看到数据已通过某个自动生成的 key 成
Kotlin 协程是否提供任何“发生之前”保证? 例如,在这种情况下,写入 mutableVar 和随后在(可能)其他线程上读取之间是否存在“发生之前”保证: suspend fun doSometh
我正在开发一个跟踪行程的应用程序。在搜索了这件事之后,我得出结论,实现这一点(持续跟踪用户的位置)的最好方法是使用前台服务。在某些情况下工作得很好,但在其他一些情况下(即使关闭 DOZE),我得到一些
我正在使用 ORM (sqlalchemy) 从 PG 数据库中获取数据。我想避免在我手工编写的 SQL 语句中指定所有表列名称*。 到目前为止,我的假设是返回的列按照用于创建数据库表的 DDL 语句
在 setState 的文档中这样说: setState() does not immediately mutate this.state but creates a pending state tr
我有一个与不同硬件接口(interface)的简单应用程序。对于每个硬件,我针对一个独特的监视器函数生成了一个 pthread_t,总共有 6 个线程:1 个管理线程和 5 个工作线程。 每个线程都有
目前,我有 private ThreadLocal shortDateFormat = new ThreadLocal() { @Override protected DateFormat i
我有一个使用 SolrCloud 将文档写入 Solr 的 Java 作业。输入数据被转换为不同实体的映射,然后将每个实体写入与其实体类型对应的 Solr 集合。 我的代码如下: public voi
我们使用嵌入式设备通过串行到以太网转换器将数据包从串行端口发送到服务器。我们使用的一家制造商 Moxa 将始终以与构建它们相同的方式发送数据包。意思是,如果我们构建一个大小为 255 的数据包,它将始
我是从 C++ 转到 Java 的。在 C++ 世界中,我们关注异常安全,并注意到变元器可以在变元器本身或其委托(delegate)的方法抛出异常时提供不同的保证(最小、强、不抛出)。实现具有强异常保
我想将来自 SAAJ 的 SOAPConnectionFactory 和 MessageFactory 类与多个线程一起使用,但事实证明我不能假设它们是线程安全的。一些相关的帖子: javax.xml
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 5 年前。 Improve
关于正确性,我找不到以下代码片段没有设计缺陷的证据/反证据。 template class MyDirtyPool { public: template std::size_t ad
对于这个问题,我找到了不同的答案,我知道一定有一个确定的答案。 C 中四种主要数据类型的最小分配内存大小是多少? int , double , float , 和 char是我在想什么。做 signe
我正在使用 Kafka Producer,我的应用程序将具有相同键的各个 ProducerRecords 发送到单个分区中,然后这些 ProducerRecords 在发送到代理之前进行批处理(使用
您好,我是服务器端编程 (java) 的新手,正在阅读 SendRedirect 与 Forward 之间的区别。来自 Post-redirect-get pattern它解释说这将阻止通过点击刷新按
我是一名优秀的程序员,十分优秀!