Crétin de navigateur: le cas du "/"

Ici, nous allons voir un soucis que j'ai eu il y a quelques mois, et que je ne pensais pas avoir.

Dans une URL, nous ne pouvons pas avoir de caractères spéciaux, comme les espaces. Du coup, nous les encodons. Par exemple, un espace est représenté par %20.

Après, il est vrai que nous navigateurs sont plus "dociles" et nous autorisent de plus en plus à ne pas encoder nos valeurs. Néanmoins, il est toujours conseillé de le faire pour éviter des confusions. Notamment autour du "/".

En effet, imaginer les cas suivants

1) Je souhaite injecter une valeur en query parameter qui contient "/". Pour des raisons de parsing de l'url, il est vivement conseillé de l'encoder. Nous aurons alors l'url:



2) J'ai une api REST et je souhaite injecter une valeur qui potentiellement peut avoir un "/" (ce qui vous vous en doutez, est très gênant). Naïvement, nous penserions que nous ferions cela:



Et bien il y a de très fortes chances que votre navigateur le comprenne malheureusement comme ça: http://www.example.com/products/range/my/range/princing



En effet, il semblerait que les navigateurs ont pris pour habitude pour le cas du "/" de le dé-encoder si ce dernier est avant les query parameters (autrement dit, avant un "?"). Et ça, quelque soit le navigateur.

Du coup, avec ce genre de comportement, des applications utilisant par exemple le routeur d'AngularJs vont "planter" car le chemin ne sera pas reconnu, ou les valeurs mal interceptés.

Et après avoir discuter avec des amis, il semblerait que cela peut du coup se produire également côté backend, et pas seulement pour ce cas là.



Ainsi, il est vivement conseillé de faire du double-encodage sur vos valeurs de paramètres qui peuvent contenir des caractères spéciaux.


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

ISO: liens & outils utiles

Image
Voici quelques normes ISO à connaître et que vous aurez à faire face dans vos développements. Et quelques liens / outils permettant de s'assurer que nous faisons correctement leurs intégrations Code Pays https://countrycode.org/ est super site qui permet de lister les pays du monde avec leur country code (en mode number et iso): Et par pays, nous pouvons avoir des informations supplémentaires, comme le format téléphone, la position géographique, la time zone, la monnaie, etc: Ce site du coup regroupe les country code: En ISO 3166 name (où un nom est attribué à un pays) En ISO 3166 numeric (où un chiffre numérique est attribué à un pays) En ISO 3166-1 alpha-2 (code en 2 alpha majuscule) En ISO 3166-1 alpha-3 (code en 3 alpha majuscule) Ainsi que les langues. Tout cela est d'ailleurs regroupés dans ce fichier téléchargeable . Code langue / locale Là, nous tombons dans un des plus grands soucis d'un développeur: co...
Lire la suite

NodeJs et SSL: une petite analyse

Le but de cet article est de faire un petit tour d'horizon de l'usage de SSL dans nos applications NodeJs, en l'occurence, quand nous souhaitons faire une application Web, une API REST, ou les deux. Nous allons avoir 6 étapes pour de réalisation d'un serveur NodeJs, avec à chaque fois 12 clients: Un client NodeJs sans certificats SSL - strictSSL à false Un client NodeJs sans certificats SSL - strictSSL à true Un client NodeJs avec un certificat SSL client non fiable - strictSSL à false Un client NodeJs avec un certificat SSL client non fiable - strictSSL à true Un client NodeJs avec un certificat SSL server non fiable - strictSSL à false Un client NodeJs avec un certificat SSL server non fiable - strictSSL à true Un client NodeJs avec un certificat SSL client fiable - strictSSL à false Un client NodeJs avec un certificat SSL client fiable - strictSSL à true Un client NodeJs avec un certificat SSL serveur fiable - strictSSL à false...
Lire la suite

Créer sa commande slack en quelques minutes

Image
Le but de cet article est de vous montrer que très simplement, nous pouvons créer une commande personnalisée pour Slack. Ici, nous allons afficher des chats :)" Tout d'abord, nous allons nous créer des comptes sur: Slack:  https://slack.com Heroku:  http://www.heroku.com/ qui permettra d'héberger notre service REST pour Slack Gitlab: https://gitlab.com  qui permet évidemment d'héberger notre code, mais qui pourra de manière automatiser déployer notre application sur Heroku à chaque commit (et cela, même en mode "gratuit") Concentrons-nous tout d'abord sur Heroku et Gitlab. Créons un compte Heroku. Une fois cela fait, aller dans votre compte :. Vous verrez alors une section nommée "API key": Cliquez sur "Reveal" pour voir la valeur et conservez la bien en mémoire. Ensuite, sur en retournant sur votre dashboard d'applications Heroku , cliquez sur "New" et créez une nouvelle application. Dans...
Lire la suite