JavaScript 如何验证 URL

javascript,如何,验证,url · 浏览次数 : 600

小编点评

**引言** 当处理不同目的时,开发者经常需要对URL进行验证时,例如浏览器历史导航、锚点目标、查询参数等等。 **URL验证的重要性** URL验证有助于加强安全,防止可能存在的漏洞,并消除运行代码时产生的任何错误的机会。 **使用新 URL 构造函数验证 URL** `new URL()` 函数用于检查 URL 的有效性,并返回一个 `URL` 对象。 **使用正则表达式验证 URL** 正则表达式可以用于匹配有效的 URL 的语法,但它们可能难以完全处理所有可能的情况。 **使用正则表达式验证 URL** 正则表达式可以用于匹配有效的 URL 的语法,但它们可能难以完全处理所有可能的情况。 **其他验证方法** 除了 `new URL()` 和正则表达式外,还有其他方法可以用于验证 URL,例如 `isValidURL()` 函数。 **结论** URL 验证对于 JavaScript 应用的安全性至关重要。通过在服务器端验证 URL,我们可以缓解此类攻击的影响。建议使用 `new URL()` 函数和正则表达式等方法来验证 URL,并确保服务器端进行验证。

正文

前言

当开发者需要为不同目的以不同形式处理URL时,比如说浏览器历史导航,锚点目标,查询参数等等,我们经常会借助于JavaScript。然而,它的频繁使用促使攻击者利用其漏洞。这种被利用的风险是我们必须在我们的JavaScript应用程序中实现URL验证的原因。

URL验证检查URL是否遵循正确的URL语法,也就是每个URL必须具备的结构。URL验证可以使我们的应用程序免遭基于URL的漏洞,比如恶意脚本注入和服务器端请求伪造(SSRF)。当我们在获取远程资源时没有应用安全编码惯例来验证用户提供的URL时,恶意行为者可以采用SSRF攻击。

URL验证

URL验证的存在是为了加强安全,防止可能存在的漏洞,并消除运行代码时产生的任何错误的机会。但是我们应该在什么时候使用URL验证,在这个过程中我们要验证什么呢?我们应该在所有必须识别和验证诸如网页、图片、gif和视频等资源的软件中实施URL验证。

一个典型的URL包括多个片段,比如协议、域名、主机名、资源名、URL源、端口等等。这些用来告诉浏览器如何追踪指定的资源。我们可以以不同的方式来验证URL:

  • 使用正则字面量和构造函数
  • URL构造函数
  • isValidURL方法
  • Input元素
  • Anchor标签方法

一个典型的URL验证方案接收来自用户的输入,然后对其进行解析,以识别其各个组成部分。验证方案可以确保所有的URL组件符合互联网标准。例如,如果需要,它可以检查URL是否使用安全协议。

主机名验证首先是将主机名分成独立的标签,以确保它们符合顶级域名规范。一个典型的主机名由至少两个用点分隔的标签组成。例如,www.snyk.com 有 "www"、"snyk"和 "com"的标签。每个标签只能由一个字母数字字符或一个连字符组成,无论大小写。然后,验证方案可以确保主机名与URL的允许列表相匹配,以确保只允许指定的URL,并且允许的URL不会被错误地取消资格。

默认情况下,URL中使用的大多数资源的路径都是允许的。然而,端口只能在1到65536的范围内。任何超出这个范围的东西都应该抛出一个错误。我们还可以检查数字IP地址,以判断它是一个IPV4地址还是IPV6地址。

最后,我们也可以检查URL的用户名和密码。这个功能有助于遵守公司政策和凭证保护。

现在,你已经有了这些基础知识,让我们来看看使用javascript的URL验证吧。

如何执行URL验证

在JavaScript中,执行URL验证最简单的方式是使用new URL构造函数。除此之外,它还得到了Node.js运行时和大多数浏览器的支持。

基本语法如下:

new URL (url)
new URL (url , base)

如果提供相对URL,JavaScript只需要base元素。如果不提供相对URL,默认为undefined。另外,如果提供一个具有绝对URL的base元素,JavaScript会忽略base元素。

为了验证URL,可以使用以下代码:

function checkUrl (string) {
  let givenURL ;
  try {
      givenURL = new URL (string);
  } catch (error) {
      console.log ("error is", error);
     return false; 
  }
  return true;
}

该函数用于检查URL的有效性。当URL有效时返回true,否则返回false

  • 如果你传递www.urlcheck.com给该函数会返回false。因为该参数并不是一个有效的URL。正确版本应该是https://urlcheck.com
  • 另一个例子是mailto:John.Doe@example.com。这是一个有效的URL,但如果移除了冒号,JavaScript就不再认为它是一个URL了。
  • 第三个例子是ftp://。这不是一个有效URL,因为没有包含主机名。如果你添加两个点(..),就会变成有效URL。因为点会被认为是一个主机名,也就是说ftp://..变成了一个有效的URL。

重要的是要记住,非常规的、但完全有效的URL是存在的!它们可能对从事这些工作的开发人员来说是意外的,但在其他方面是完全合适的。例如,以下两个URL都会返回真值:

  • new URL("youtube://a.b.c.d");
  • new URL("a://1.2.3.4@1.2.3.4");

这些例子提醒我们,开发者应该依靠URL验证原则,而不是专注于惯例。

如果你想确保有效的URL包含一些特定的URL方案,你可以使用以下函数:

function checkHttpUrl(string) {
  let givenURL;
  try {
      givenURL = new URL(string);
  } catch (error) {
      console.log("error is",error)
    return false;  
  }
  return givenURL.protocol === "http:" || givenURL.protocol === "https:";
}

该函数验证URL,然后检查URL是否使用HTTP或者HTTPS。在这里,ftp://..会被认为是无效的,因为它不包含HTTP或者HTTPS,而http://..依旧有效。

使用URL构造函数的一些其他方式包括:

let m = '<https://snyk.io>';
let a = new URL("/", m);

上述示例使用了base元素。记录下这个值,我们就可以得到https://snyk.io/

要返回一个URL对象而不指定base参数的话,语法是:

let b = new URL(m);

为了给主机添加一个路径名,我们的代码结构如下:

let d = new URL('/en-US/docs', b);

存储在变量d上的URL是https://snyk.io/en-US/docs

URL模块的另一个功能是,它实现了WHATWG URL API,它遵守WHATWG的URL标准,供浏览器使用:

let adr = new URL("<https://snyk.io/en-US/docs>");
let host = adr.host;
let path = adr.pathname;

在上面的例子中,我们创建了一个名为adr的URL对象。接着,代码获取URL的主机和路径名,分别是snyk.io/en-US/docs。最后,我们可以将URL和允许列表或者黑名单进行对比,确保只有特定URL是被允许的。

如何使用正则验证

另一种验证URL的方法是使用正则表达式(regex)。我们可以使用Regex来检查URL是否有效。

使用regex进行URL验证的JavaScript语法是:

function isValidURL(string) 
  {
      var res = 
      string.match(/(https?:\/\/(?:www\.|(?!www))[a-zA-Z0-9][a-zA-Z0-9-
      ]+[a-zA-Z0-9]\.[^\s]{2,}|www\.[a-zA-Z0-9][a-zA-Z0-9-]+[a-zA-Z0-9]
      \.[^\s]{2,}|https?:\/\/(?:www\.|(?!www))[a-zA-Z0-9]+\.[^\s]{2,}|w
      ww\.[a-zA-Z0-9]+\.[^\s]{2,})/gi);
		  return (res !== null);
  };

来测试一些URL:

var tc1 = "<http://helloworld.com>"
console.log(isValidURL(tc1));

regex定义的URL语法检查URL是否以http://https://或子域开始,以及是否包含域名。控制台上的语句结果是true,因为它遵循了由regex定义的URL语法。相反,下面的语句将返回一个false,因为它没有以任何允许的方案或子域开始,也不包含域名:

var tc4 = "helloWorld";
console.log (isValidURL(tc4));

上面的正则表达式相对简单,但仍然难以驾驭。这也是一个容易出错的方法,因为一个正则表达式不能充分处理验证URL的规则。它最多只能做到匹配有效的URL。此外,当一个正则表达式要么包含复杂的验证逻辑,要么收到冗长的输入字符串时,执行验证检查就变得很耗时。

为了满足定义的正则表达式验证检查,浏览器必须在输入字符串中进行数以百万计的回溯。如此多的回溯检查可能会导致"灾难性的回溯",这种现象是复杂的正则表达式会冻结浏览器或使CPU核心进程爆满。

安全使用JavaScript

正如SSRF被添加到新的OWASP Top 10中所证明的那样,URL验证对于JavaScript应用程序的安全性已经变得越来越关键。幸运的是,我们可以通过在服务器端验证URL来帮助缓解此类攻击。此外,根据验证和处理URL的首选方式来使用new URL函数会非常有益。

在看到new URL函数的一些使用案例后,我们学习了如何用正则表达式验证一个URL--并看到了为什么这种方法很麻烦而且容易出错。

URL的安全风险与其说是关于其有效性,不如说是关于危险的URL方案。因此,我们需要确保让服务器端的应用程序进行验证。攻击者可以绕过客户端的验证机制,所以仅仅依靠它并不是解决办法。

以上就是本文的所有内容,如果对你有所帮助,欢迎点赞、收藏、转发~

与JavaScript 如何验证 URL相似的内容:

JavaScript 如何验证 URL

前言 当开发者需要为不同目的以不同形式处理URL时,比如说浏览器历史导航,锚点目标,查询参数等等,我们经常会借助于JavaScript。然而,它的频繁使用促使攻击者利用其漏洞。这种被利用的风险是我们必须在我们的JavaScript应用程序中实现URL验证的原因。 URL验证检查URL是否遵循正确的U

如何用 JavaScript 编写你的第一个单元测试

前言 测试代码是使代码安全的第一步。做到这一点的最好方法之一是使用单元测试,确保应用程序中的每个小功能都能发挥其应有的作用--特别是当应用程序处于边缘情况,比如无效的输入,或有潜在危害的输入。 为什么要单元测试 说到单元测试,有许多不同的方法。单元测试的一些主要目的是: 验证功能:单元测试确保代码做

JavaScript 如何实现一个响应式系统

JavaScript 如何实现一个响应式系统 第一阶段目标 数据变化重新运行依赖数据的过程 第一阶段问题 如何知道数据发生了变化 如何知道哪些过程依赖了哪些数据 第一阶段问题的解决方案 我们可用参考现有的响应式系统(vue) vue2 是通过 Object.defineProperty实现数据变化的

如何在JavaScript中使用for循环

前言 循环允许我们通过循环数组或对象中的项并做一些事情,比如说打印它们,修改它们,或执行其他类型的任务或动作。JavaScript有各种各样的循环,for循环允许我们对一个集合(如数组)进行迭代。 在这篇文章中,我们将了解JavaScript提供的for循环。我们将看看for...in循环语句是如何

如何使用JavaScript实现在线Excel附件的上传与下载?

前言 在本地使用Excel时,经常会有需要在Excel中添加一些附件文件的需求,例如在Excel中附带一些Word,CAD图等等。同样的,类比到Web端,现在很多人用的在线Excel是否也可以像本地一样实现附件文件的操作呢?答案是肯定的,不过和本地不同的是,Web端不会直接打开附件,而是使用超链接单

重学JavaScript Promise API

> 在这篇教程中,我们将掌握如何在JavaScript中创建并使用Promise。我们将了解Promise链式调用、错误处理以及最近添加到语言中的一些Promise静态方法。 ## 什么是Promise? 在JavaScript中,一些操作是异步的。这意味着当这些操作完成时,它们产出的结果或者值并不

构建 JavaScript ChatGPT 插件

> 聊天插件系统是一种令人兴奋的新方式,可以扩展ChatGPT的功能,纳入您自己的业务数据,并为客户与您的业务互动增加另一个渠道。在这篇文章中,我将解释什么是聊天插件,它们能做什么,以及你如何用JavaScript建立你自己的聊天插件。 这篇文章(或OpenAI所称的"训练数据")提供了一个快速入门

async/await初学者指南

> JavaScript中的`async`和`await`关键字提供了一种现代语法,帮助我们处理异步操作。在本教程中,我们将深入研究如何使用`async/await`来掌控JavaScript程序中的流程控制。 > ## 总览 - 如何创建JavaScript异步函数 - async关键字 - aw

字符串— trim()、trimStart() 和 trimEnd()

在今天的教程中,我们将一起来学习JavaScript 字符串trim()、trimStart() 和 trimEnd()。 01、trim() 学习如何使用 JavaScript trim()方法从字符串的两端删除空格字符。 JavaScript trim() 方法介绍 String.prototy

揭秘报表新玩法!标配插件不再单调,如何用柱形图插件让你的报表瞬间高大上!

> 摘要:本文由葡萄城技术团队于博客园原创并首发。葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 # 前言 图表作为一款用于可视化数据的工具,可以帮助我们更好的分析和理解数据,并发现数据之间的关系和趋势。下面以柱形图为例介绍如何使用JavaScript在报表中引入图表。 本文使用软件