try url decode uri in access log #18

kevinlemonra · 2022-06-08T08:50:56Z

请求日志中的中文路径显示不出来小改一下

marjune163 · 2022-06-08T16:30:12Z

我这边测试下来在Linux VGA终端上不加载字体的情况下，中文都会变成方块，可能这种情况下辨识度更低了。

另外这里直接记录了用户的请求而没有做过滤，与unicode有关的漏洞时有发生，如果用户精心构造一个特殊的字节序列，查看日志的计算机可能受到攻击，需要如何防范呢？

kevinlemonra · 2022-06-09T07:14:21Z

我觉得，如果不是记录到数据库或是显示在网页上，而只是记录到日志文件中的话，问题不大。至于查看日志的机器的安全性，那就要看他怎么查看了。

marjune163 · 2022-06-14T07:32:38Z

%08 是退格键，我试下来如果请求带有这个序列就可以往前删除。

marjune163 · 2022-06-17T16:20:54Z

我增加了过滤逻辑，并且保留了Unescape前的原始URL：a9be3ec

try url decode uri in access log

fb32366

Provide feedback