1. Куча / Говнокод #13048

    +126

    1. 1
    <img src="/html/../images/menu/top.png" alt="" />

    Весь HTML вот так зашифрован, не знаю нормально ли это?

    Запостил: straga_coda, 24 Мая 2013

    Комментарии (8) RSS

    • ava guest 24.05.2013 23:36 # 0

      Сойдёт. Если работает, то сойдёт. Хотя, конечно, это говно.
      Ответить

    • ava inkanus-gray 24.05.2013 23:38 # −2

      Разумеется, ненормально, потому что слэш в конце нормален для XHTML, но никак не для HTML.

      Что смутило? Если путь к файлу, то всё зависит от сервера. "/html" может быть cgi-скриптом, тогда "../images/menu/top.png" — это параметры его вызова. Может стоять mod_rewrite, например.
      Ответить

      • ava wvxvw 25.05.2013 00:22 # +2

        Я не уверен что по этому поводу говорит RFC, но не удивился бы, если бы он разрешал, или даже предписывал нормализовать путь еще до посылки на сервер.
        Ответить

        • ava inkanus-gray 25.05.2013 05:11 # +2

          RFC1738 по этому поводу ничего не говорит:
          Within the <path> and <searchpart> components, "/", ";", "?" are
          reserved. The "/" character may be used within HTTP to designate a
          hierarchical structure.

          RFC2396 уже рекомендует нормализовать URL в клиенте перед отправкой запроса, но только если путь относительный. Остальные же положения . и .. приведены в параграфе «Abnormal examples»:
          Similarly, parsers must avoid treating "." and ".." as special when
          they are not complete components of a relative path.

          Т. е. путь "html/../images/menu/top.png" нужно нормализовать, потому что он относительный, а с "/html/../images/menu/top.png" ничего не делать, потому что он начинается со слэша.
          Ответить

        • ava inkanus-gray 26.05.2013 01:36 # +2

          Не поленился и проверил. Допотопный IE 1.5 нормализует относительные пути и оставляет без изменения абсолютные в соответствии с RFC2396. Т. е. "html/../images/menu/top.png" он заменяет на "images/menu/top.png", а "/html/../images/menu/top.png" прямо в таком виде с точками отправляет на сервер.

          Современные веб-браузеры (IE, Опера, ФФ, Хром) нормализуют все пути (и абсолютные, и относительные) ещё до отправки запроса к серверу. Но в RFC3986, вышедшем в 2005 году, абзаца, явно разграничивающего правила для абсолютных и относительных путей, уже нет.
          Ответить

          • ava wvxvw 26.05.2013 08:25 # 0

            Я думаю, это скорее всего соображение безопасности. Например, если между HTTP сервером и пользователем стоит кеширующий прокси, и если этот прокси можно скомприметировать менее оптимальным путем указывающим на ту же страницу - это была бы очень серьезная дырка.
            Ответить

            • ava bormand 26.05.2013 08:51 # 0

              Но согласитесь, закрывать дырку на стороне клиента было бы глупо. Так что тут все зависит от того, как себя должен вести сервер, получив неоптимальный путь типа /html/../images/css (выдавать ошибку?). А как себя ведет клиент - всем насрать.
              Ответить

              • ava wvxvw 26.05.2013 10:05 # +1

                Не, смысл в том, что UA защищает клиента в этом случае. Серверу-то ничего не будет от того, что в кеше появится страница, которую сам сервер не хранит - но если она попадет к клиенту и обманет его (и приведет к тому, что клиент, например, пошлет свой пароль куда-то не туда), то это плохо.
                Ответить

    Добавить комментарий