url - 可以在查询字符串之前跳过斜杠吗？

Question

附加查询字符串时始终跳过尾部斜杠是否安全？

也就是说，我可以使用

http://example.com?querystring

而不是:

http://example.com/?querystring

？我使用过的所有网络主机都支持此方法，但是可以安全地假设所有服务器环境都支持此方法吗？标准吗？

Answer 1

作为现代规范的问题，是的，允许跳过斜杠，这与 accepted answer 的内容相反。这里声明。

尽管接受的答案正确引用了 RFC 1738(20 多年前发布!)，但它错误地声称 RFC 2396(1998 年发布)需要斜杠，并且忽略了这些规范都又被 RFC 3986 废弃，于 2005 年发布(距离编写已接受的答案还有几年)，最近由 WhatWG URL Standard 发布。 ，两者都允许省略斜杠。

让我们按照从最早到最新的顺序依次考虑这些规范:

<小时/>

RFC 1738: Uniform Resource Locators (URL) (1994 年发布)

隐式要求 specifying that it may be omitted if the URL contains neither a path nor a query string 包含斜杠(此处称为 searchpart )。下面的粗体是我的:

An HTTP URL takes the form:

http://<host>:<port>/<path>?<searchpart>

where <host> and <port> are as described in Section 3.1. If :<port>is omitted, the port defaults to 80. No user name or password isallowed. <path> is an HTTP selector, and <searchpart> is a querystring. The <path> is optional, as is the <searchpart> and itspreceding "?". If neither <path> nor <searchpart> is present, the "/"may also be omitted.

<小时/>

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax (1998 年发布；“更新”RFC 1738)

这里省略斜杠是可以接受的。这个 RFC 合法化了一些奇怪的 URL 语法，这些语法在方案之后没有双斜杠，但是如果我们忽略这些语法(它们是规范的 BNF 中带有 opaque_part 的语法)并坚持使用包含主机，然后我们发现一个absoluteURI定义如下...

absoluteURI   = scheme ":" ( hier_part | opaque_part )

然后是 hier_part看起来像这样:

hier_part     = ( net_path | abs_path ) [ "?" query ]

然后是 net_path看起来像这样:

net_path      = "//" authority [ abs_path ]

其中abs_path依次定义为以斜线开头。请注意 abs_path在上面的语法中是可选 - 这意味着 scheme://authority?query 形式的 URL是完全合法的。

附录 G.2. Modifications from both RFC 1738 and RFC 1808 暗示了此更改的动机:

The question-mark "?" character was removed from the set of allowedcharacters for the userinfo in the authority component, since testingshowed that many applications treat it as reserved for separating thequery component from the rest of the URI.

换句话说 - 现实世界中的代码假设 URL 中任何位置的第一个问号都标记了查询字符串的开头，因此规范被务实地更新以与现实保持一致。

<小时/>

RFC 3986: Uniform Resource Identifier (URI): Generic Syntax (2005 年发布；“废弃”RFC 2396)

同样，可以省略斜杠。该规范通过规定每个包含权限(主机)的 URI 中都需要一个“路径”来表达这一点，并且该路径必须以斜线开头或由以下内容组成没有字符:

3. Syntax Components

The generic URI syntax consists of a hierarchical sequence ofcomponents referred to as the scheme, authority, path, query, andfragment.

URI         = scheme ":" hier-part [ "?" query ] [ "#" fragment ]

hier-part   = "//" authority path-abempty
            / path-absolute
            / path-rootless
            / path-empty

The scheme and path components are required, though the path may beempty (no characters). When authority is present, the path musteither be empty or begin with a slash ("/") character.

为了完整起见，请注意path-abempty后来这样定义:

path-abempty  = *( "/" segment )

这确实允许它不包含任何字符。

<小时/>

URL Standard由 WhatWG 制定(积极维护的生活标准，首次创建于 2012 年，目标是废弃 RFC 3986)

同样，省略斜杠是可以接受的，尽管这次我们没有 BNF 可看，而是需要阅读大量散文。

Section 4.3告诉我们:

An absolute-URL string must be one of the following

• a URL-scheme string that is an ASCII case-insensitive match for a special scheme and not an ASCII case-insensitive match for "file", followed by ":" and a scheme-relative-special-URL string
• a URL-scheme string that is not an ASCII case-insensitive match for a special scheme, followed by ":" and a relative-URL string
• a URL-scheme string that is an ASCII case-insensitive match for "file", followed by ":" and a scheme-relative-file-URL string

any optionally followed by "?" and a URL-query string.

由于 HTTP 和 HTTPS 是 special schemes ，任何 HTTP 或 HTTPS URL 必须满足这三个选项中的第一个 - 即 http:或https:随后是 scheme-relative-special-URL string ，其中:

must be "//", followed by a valid host string, optionally followed by ":" and a URL-port string, optionally followed by a path-absolute-URL string.

一个path-absolute-URL string被定义为以斜杠开头，但在上面的绝对 URL 字符串的定义中是明确可选的；因此，允许从主机直接转到“? ”和查询字符串，以及像 http://example.com?query 这样的 URL。是合法的。

<小时/>

当然，这些都不能保证每个 Web 服务器或 HTTP 库都会接受此类 URL，也不能保证它们在语义上等同于包含斜杠的 URL。但就规范而言，跳过斜杠是完全合法的。