1

根据 OWASP,服务器应为所有通信指定 Unicode 编码。我读过这可以在 HTTP 标头中设置,也可以在 HTML 中设置。最佳做法是默认将其设置在标题中,但允许在 HTML 中覆盖它。

我的问题是,如果服务器在标头中设置了 Unicode 编码,并且客户端使用标头中的编码进行响应,但恶意在 HTML 中注入了不同的编码,服务器会拒绝它还是将其归结为应用程序探测?也许这是一个特定于服务器的问题......

任何帮助表示赞赏。

谢谢。

4

1 回答 1

0

HTTPContent-Type标头覆盖<meta charset>.

这在 HTML 规范的第 5.2.2 节中指定:

符合标准的用户代理在确定文档的字符编码时必须遵守以下优先级(从最高优先级到最低优先级):

  • “内容类型”字段中的 HTTP“字符集”参数。
  • 将“http-equiv”设置为“Content-Type”并为“charset”设置值的 META 声明。
  • [...]
于 2012-07-18T10:08:18.440 回答