openresty的unescape_uri函数处理百分号后面字符的小特性

我们的 WAF (Web Application Firewall)是搭建在 nginx 上，使用 lua modules 来实现的。也就是 openresty 的 luajit 功能来实现WEB 攻击判断。

问题描述

源字符串:

/aa%20a?openId=%%3Cscript%3E%

openresty的unescape_uri函数处理后结果

/aa a?openId=%3Cscript>

期望的结果：

/aa a?openId=%<script>%

问题现象：

转义不对；丢了百分号。

如何重现

通过浏览器，构造一个包含如上特征的 uri，按回车提交到 nginx？ 浏览器会自动把字符串转码吗？转码是按照什么规范来的？IE9、IE10、chrome、safari是分别如何处理的？ 习惯用postman的人，知道postman是否会escape uri呢？

如果你忽略了这一点，那么会对你的测试造成很大的影响，耽误时间经历，让你在重试阶段都对问题产生了怀疑。

从HTTP协议角度考虑，只要确保通过协议发送到 http server 的请求中，uri 是符合我们需要的即可。至于浏览器的 escape做法，可以忽略，直接构造 http 协议来重现。

• 重现时，通过浏览器 提交「问题字符串」，在 nginx 层 输出 unescape 后的结果。
• 注意浏览器是否对 URI 进行了 URI_ENCODE，不同浏览器执行的 RFC 标准也不一样。
• 最根本的方式是，跳过浏览器，直接构造 http request 包，确保源字符串完整发送只 nginx。