べて拒否するUrlはないか？

Question

私は開発用としてのUrlの形式 www.example.com/some_url/some_parameter/some_keyword.知っているデザインの最大長があるこれらのUrl（やまだ有効である).べきかを検証するURLの長さのどんなご要望を守るために、バッファオーバーフロー/インジェクション攻撃?と思うことは明らかなりありません、安全保障の専門家ではない何かが足りない.

Answer 1

だから入力を拒否します。

しなければなりませんの妥当性を検証入力、確実に廃棄い外部の予定です。既に分かっている場合はこのURLの正直な超えて一定の長さを拒否しになる前に願います。

Answer 2

深層防護は原則とします。偽セキュリティ対策は原則とします。の違いによって多い。

だ真に信任意のURLに対してNが無効の場としても拒否します。でもtrueにした場合で、残りのご入力の検証が正しいでく拒否された後だった。すべてこのチェックになる可能性があるか、緩和によるその他のバグだ。それは多くの場合、よりよい時を過ごしえいたしましたバグで、ものを考えNなのかもしれません。

だチェックの長さでもベストなこの長さは制限なおす。そういうカップルにチェックをより強く、それが難しく変化の限界は次回のバージョンの場合はスペックを受け入れることなUrlに対するものとなります。例えば、長さが上限となりの言い訳を入れたUrlのスタックにより注意を払って、その場合の設定の人のために。

Answer 3

れていますので必ずること すべての URLを超Nが無効か?き届いたものだと考えることができ、その後はずがない傷つき制限などアメニティチェックインがこの馬鹿にすえいを防ぎ、クラスの開拓.

Answer 4

この大きな課題であることが今日ではURLを超えないようNできる保証はないのです。や、ときに戻ることを編集するためのurlをN+y、お忘れの変更にはurl拒絶反応のコードです。

いよく確認のURLパラメータを前にしています。

Answer 5

サファリ、Internet Explorer、Firefoxがすべて異なる最大長さのことを受けた。

私は投票の最短の立します。

http://www.boutell.com/newfaq/misc/urllength.html

引きからのリンク

"Microsoft Internet Explorerのブラウザ) -2,083文字

Firefoxブラウザ） -後65,536文字はロケーションバーなが表示されURL Windows Firefox1.5.x.しかし、長いUrlにします。私は停止試験の後、100,000文字です。

Safariブラウザ） -少なくとも80,000文字にします。"

Answer 6

この場合に過ごせばよいかを教えてくれるmodicumの安全が保存で帯域幅の場合は人々がそうであるようだ夢中長いUrlが大きくべきかの検証データを実際のアプリケーションです。複数のセキュリティレベルを確保は一般的により良いものを作成するのではありませんの思いるものですか、それとも弱の保護のたことに始まるえなければいけませんの問題ついてご覧いただけます。

Answer 7

したと思います。ではfalseです。だけでプログラムをよくご確認の求めの悪いんですよ。で十分です。

また、将来の証明することにあります。

Answer 8

そうです。場合でも長くいただいています。を拒否することが可能です。できれば拒絶するに届く前に、アプリケーション例IISLockdownいます。

覚えている文字エンコーディングものです。

Answer 9

よりチェックの長さだと思いを確認しておきましょう。どんどんどん利用URLスキーマ、将来、常にサニタイズをご用の入力端子が付いています。入れるのに非常に複雑なことも非常に単純に:ない信頼をユーザによって提供されたデータです。入れないで直接DBクエリーなeval()がないスタート地点から間違っていました。

Answer 10

わかれば有効なUrlできない以上 N バイトその音のように良い意味での早期拒否するクロスサイトスクリプティングの試みにすぎずです。

Answer 11

についての検証は何か 請求者の請求 以上の検証はURLの長さです。

のニーズは今後変わる可能性があり、その点だけを取り外す必要はありますの変更にはURLの長さの検証、紹介させてしまいます。

などの実績のあるセキュリティに係る脆弱性したときに実行いたします。

Answer 12

Ok、そのようなNが存在します。としてonebyone指摘の通り、不正なURLは以N文字化けすることを拒否されたその他の入力の検証。しかし、私にこの開発者の設計したことを考える:

この定数ですの妥当性を検証その他のバリデーションを実施します。いる場合は、その検証していを検知できない特定のURLを無効として、そのURLは以N文字は、このURLにサブミットトリガのバグと記録しておき(およびその応用は停止し、それを無効なURLをつくることができます。

Answer 13

あっ、たくさんの回答を、たくさんの良さ、広がるもので、私の試みを統合しました。 tl;dr imoのこは低いレベルの心のためのアプリケーションレイヤのコードです。

あり、URLが 他の 長さも、実際にはブラウザにおいて限界です。もちろんものの、その保護からブラウザベースでの攻撃による英語のままで概要を理解することを制限してい顔になれるベクトルが、うまく管理できなければならないものの取り扱いに活躍攻撃のことを伝え、"よくやった！

Okで保護するバッファがあります。ものだけで作業している場合は、低レベルについて考えてなどです。ほとんどの言語間の支援の文字列でもできないだけのオーバーフロー.また対応も非常に低いレベルのシステムを実際に読み、データをバイトとして使うという'文字列'タイプ、そして確かないかの方法での検出及び保管-ぐらついたものではなくメモリを割り当て、振れ量だけのイラストにメモリを設定します。率直に取扱っている場合はこの低レベルまでには、地下鉄からも近くて便利。

でもないのに、どうでしょうか否かに基づく文字列すか？大簡単に行くことができることを可能にするには偽り安心して使えるということ。とは言うものの、一部のコードが'雑にな'との脆弱性が存在します。は非常に限りチャレンジしているうちに避けなければなりません。しており、さらにいれないように注意することを確認してください'世界'の制限は実際には十分なご検討をURI形式ることができるかもしれませていうようなことがあれば、パーツの報告などの最大長は、中央の長さをチェック(両方の文字列全体、または);少なくともこの場合、一部できるようにすることが求められより長い文字列として扱えるようになりますので、変化します。

このコースという優れた特性が得るので、とても早くかを比較することが可能となる長さの文字列実行要求を拒否すぐに...しているものの振る舞'サイトに必要となっており、適切な対応を理由を説明するサーバを拒否する。実際にものかへいしているこれらの多くの種類が"間違ったURL確実なものを多くすることはいたしません。

何らかの理由などないような語ります。高レベルの言語のようなJavaまたはPythonても興味深く、とても良い図書館を扱うウェブもの'.Javaご指定のパターンのためのURIの使用を含む正規表現に対するパターンでしたい場合は、名前のURLでご覧いただけますかのようなもの @Path("/person/(.{0..100}") 制限パラメータを100文字以内です。さんに驚いている場合は、RubyやPythonなかったのと同等になるように、自身のリニューアルがなされており'webby'の言語である。

最後に、わが 多くの ものにする必要があるということを検証だけでなく、長さです。を気にすることのURIがバッファオーバーフローは非常に低いレベルでは、このような背景の下で、する必要があり非常に汎用的には、取り扱う必要があり、その要請について、一人でも1GB URIる;注いで取っ手いさせて頂いた上で受付させて頂きるで、アプリケーション層でも着信拒否について、それぞれ低レベル、トリガシステムイベントも参考になり嬉しいです。