遇到个 Java 和 Php 在获取客户端 cookie 方式不同导致跨系统的问题。所以写了这篇博客梳理下相关知识。
实验
下面通过两个简单的实验,来看Java和Php在获取web请求中的cookie的不同之处,我下面贴出http请求的相关信息,和服务端输出的结果。
Java
请求信息
服务端
控制台输出
Php
服务端
结果对比
发现Java
是不会对cookie
数据做任何处理,但是php
则会默认进行一次urldecode
操作,这导致了,两边系统里面获取同一cookie
时,结果不一致的 bug。
类似的问题 PHP 在解析外部变量时的一个 BUG
Php 源码分析
主要查看两处源码
我们看到cookie的值会被执行php_url_decode
操作,下面附带其源码,且加上一段测试代码
上面php_url_decode
用到了php_htoi
,这个是因为urlencode
是按照rfc1738
对字符串中除了 -_. 之外的所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数。htoi
作用就是Converting Hexadecimal Digits Into Integers
。然后把计算出来的整型转换为char
,存回处理完之后的字符数组里。
小结
$_COOKIE
的数据在 php 这边是经过urldecode
的二手数据,这个导致和JAVA那边获取的cookie值不一样了就。
编码扩展讨论
rawurlencode
与urlencode
的区别是什么?
手册上的解释是:
urlencode
返回字符串,此字符串中除了 -_. 之外的所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)。此编码与 WWW 表单 POST 数据的编码方式是一样的,同时与 application/x-www-form-urlencoded 的媒体类型编码方式一样。由于历史原因,此编码在将空格编码为加号(+)方面与 » RFC3986 编码(参见 rawurlencode())不同。
通过源码可以看到就是对+
处理没有了。
请求的编码讨论
GET
当我们在 url 传递+
的时候,浏览器不会默认为我们执行urlencode
操作,但是 php 服务端取值的时候(还是上面那段代码)会执行urldecode
,导致url中的+
被去掉。这一点也非常好检测。
POST
当我们的做表单提交post
请求的时候,默认表单的编码规范就是application/x-www-form-urlencoded
,这样浏览器会自动的对我们的数据就行一次urlencode
编码,之后 php 服务端收到$_POST
数据会再进行urldecode
。
当我在表单里提交了一段ab+cd
的内容,请求数据如下
服务端
输出结果
另一种情况,如果我们post的表单执行编码为multipart/form-data
,浏览器则不会对数据进行编码,服务端也不会对数据就行解码。
所以当我们在配置 url 参数和 cookie 的时候,一定要注意url编码的问题。
本文作者:周梦康
本文为云栖社区原创内容,未经允许不得转载。