URL中的UTF-8字符

Question

我偶然发现了下面这篇文章：

http://www.josscrowcroft.com/2011/code/utf-8-multibyte-characters-in-url-parameters-%E2%9C%93/

本文讨论了如何在URL中使用UTF-8字符。

我想知道使用它是否安全。

我和写这篇文章的人基本上有相同的设置(浏览器+操作系统)。所以我不能真的测试它。

所以..。在URL中使用UTF-8字符安全吗？

还有一个额外的问题:如果它是安全的，为什么没有很多网站使用它？

Answer 1

url中的Unicode字符(我不是在说域名)使用起来很安全。如果你在你的网站上使用它们，没有安全风险。(如果最终用户像Oded所说的那样，在页面上使用unicode访问欺诈性网站，这会给他带来一些风险)。

唯一真正的问题是老的浏览器(和操作系统)如何显示它们。不支持它们的浏览器将在url中显示那些丑陋的百分比编码字符。您可能还必须对html中的urls进行百分比编码，以防较旧的浏览器不为您编码，并且用户无法跟踪链接(这是不好的)。现代浏览器在地址栏中显示解码后的url，但使用编码版本发送请求，因此用户总是看到漂亮的unicode字符。

Answer 2

任何支持IDN的浏览器都可以这样做。

然而，IDN在不同的web服务器、代理服务器和其他互联网基础设施上并没有得到很好的支持，因此大多数网站都不能支持它，并确保人们可以访问它们……

而且，正如@Rook暗示的那样，以这种方式使用UTF-8 (例如XSS)仍然存在安全问题。

Answer 3

UTF-8还有很长的路要走...绝对不安全。

从文化上讲，我喜欢这种方式。我无法想象写或记住由中文字母组成的URL地址，或者他们做同样的事情。