Поиск…


Метод запроса: GET

CGI-скрипт довольно легко вызвать через GET .
Сначала вам понадобится encoded url -адрес скрипта.

Затем вы добавляете знак вопроса ? за которыми следуют переменные.

  • Каждая переменная должна иметь две секции, разделенные на = .
    Первый раздел должен всегда быть уникальным именем для каждой переменной,
    а вторая часть имеет в ней только значения
  • Переменные разделяются символом &
  • Общая длина строки не должна превышать 255 символов
  • Имена и значения должны быть закодированы в html (replace: </, /?: @ & = + $ )
    Подсказка:
    При использовании html-форм метод запроса может быть сгенерирован им самостоятельно.
    С помощью Ajax вы можете кодировать все через encodeURI и encodeURIComponent

Пример:

http://www.example.com/cgi-bin/script.sh?var1=Hello%20World!&var2=This%20is%20a%20Test.&

Сервер должен взаимодействовать только через общий доступ к ресурсам Cross-Origin (CORS), чтобы сделать запрос более безопасным. В этой витрине мы используем CORS для определения типа Data-Type мы хотим использовать.

Есть много Data-Types мы можем выбрать, наиболее распространенными являются ...

  • текст / html
  • текст / обычный
  • Применение / JSON

При отправке запроса сервер также создает множество переменных среды. На данный момент наиболее важными переменными среды являются $REQUEST_METHOD и $QUERY_STRING .

Метод запроса должен GET !
Строка запроса включает все html-endoded data .

Сценарий

#!/bin/bash
    
# CORS is the way to communicate, so lets response to the server first
echo "Content-type: text/html"    # set the data-type we want to use
echo ""    # we dont need more rules, the empty line initiate this.

# CORS are set in stone and any communication from now on will be like reading a html-document.
# Therefor we need to create any stdout in html format!
    
# create html scructure and send it to stdout
echo "<!DOCTYPE html>"
echo "<html><head>"
    
# The content will be created depending on the Request Method 
if [ "$REQUEST_METHOD" = "GET" ]; then
   
    # Note that the environment variables $REQUEST_METHOD and $QUERY_STRING can be processed by the shell directly. 
    # One must filter the input to avoid cross site scripting.
    
    Var1=$(echo "$QUERY_STRING" | sed -n 's/^.*var1=\([^&]*\).*$/\1/p')    # read value of "var1"
    Var1_Dec=$(echo -e $(echo "$Var1" | sed 's/+/ /g;s/%\(..\)/\\x\1/g;'))    # html decode
    
    Var2=$(echo "$QUERY_STRING" | sed -n 's/^.*var2=\([^&]*\).*$/\1/p')
    Var2_Dec=$(echo -e $(echo "$Var2" | sed 's/+/ /g;s/%\(..\)/\\x\1/g;'))
    
    # create content for stdout
    echo "<title>Bash-CGI Example 1</title>"
    echo "</head><body>"
    echo "<h1>Bash-CGI Example 1</h1>"
    echo "<p>QUERY_STRING: ${QUERY_STRING}<br>var1=${Var1_Dec}<br>var2=${Var2_Dec}</p>"    # print the values to stdout

else

    echo "<title>456 Wrong Request Method</title>"
    echo "</head><body>"
    echo "<h1>456</h1>"
    echo "<p>Requesting data went wrong.<br>The Request method has to be \"GET\" only!</p>"

fi

echo "<hr>"
echo "$SERVER_SIGNATURE"    # an other environment variable
echo "</body></html>"    # close html
    
exit 0

Html-документ будет выглядеть так ...

<html><head>
<title>Bash-CGI Example 1</title>
</head><body>
<h1>Bash-CGI Example 1</h1>
<p>QUERY_STRING: var1=Hello%20World!&amp;var2=This%20is%20a%20Test.&amp;<br>var1=Hello World!<br>var2=This is a Test.</p>
<hr>
<address>Apache/2.4.10 (Debian) Server at example.com Port 80</address>


</body></html>

Вывод переменных будет выглядеть следующим образом ...

var1=Hello%20World!&var2=This%20is%20a%20Test.&
Hello World!
This is a Test.
Apache/2.4.10 (Debian) Server at example.com Port 80

Отрицательные побочные эффекты ...

  • Все кодирование и декодирование не выглядят хорошо, но необходимо
  • Запрос будет общедоступным и оставить лоток
  • Размер запроса ограничен
  • Нуждается в защите от Cross-Side-Scripting (XSS)

Метод запроса: POST / w JSON

Использование метода запроса POST в сочетании с SSL делает datatransfer более безопасным.

К тому же...

  • Большая часть кодирования и декодирования больше не нужна
  • URL-адрес будет видимым для любого и должен быть закодирован в URL-адресе.
    Данные будут отправляться отдельно, и поэтому они должны быть защищены через SSL
  • Размер данных почти не сообщается
  • По-прежнему требуется защита от Cross-Side-Scripting (XSS)

Чтобы сделать эту демонстрацию простой, мы хотим получить данные JSON
и связь должна быть связана с совместным использованием ресурсов Cross-Origin (CORS).

Следующий сценарий также продемонстрирует два разных типа содержимого .

#!/bin/bash

exec 2>/dev/null    # We dont want any error messages be printed to stdout
trap "response_with_html && exit 0" ERR    # response with an html message when an error occurred and close the script

function response_with_html(){    
    echo "Content-type: text/html"
    echo ""
    echo "<!DOCTYPE html>"
    echo "<html><head>"
    echo "<title>456</title>"
    echo "</head><body>"
    echo "<h1>456</h1>"
    echo "<p>Attempt to communicate with the server went wrong.</p>"
    echo "<hr>"
    echo "$SERVER_SIGNATURE"
    echo "</body></html>"
}
        
function response_with_json(){
    echo "Content-type: application/json"
    echo ""
    echo "{\"message\": \"Hello World!\"}"
}

if [ "$REQUEST_METHOD" = "POST" ]; then
   
    # The environment variabe $CONTENT_TYPE describes the data-type received
    case "$CONTENT_TYPE" in
    application/json)
        # The environment variabe $CONTENT_LENGTH describes the size of the data
        read -n "$CONTENT_LENGTH" QUERY_STRING_POST        # read datastream 

        # The following lines will prevent XSS and check for valide JSON-Data.
        # But these Symbols need to be encoded somehow before sending to this script
        QUERY_STRING_POST=$(echo "$QUERY_STRING_POST" | sed "s/'//g" | sed 's/\$//g;s/`//g;s/\*//g;s/\\//g' )        # removes some symbols (like \ * ` $ ') to prevent XSS with Bash and SQL.
        QUERY_STRING_POST=$(echo "$QUERY_STRING_POST" | sed -e :a -e 's/<[^>]*>//g;/</N;//ba')    # removes most html declarations to prevent XSS within documents
        JSON=$(echo "$QUERY_STRING_POST" | jq .)        # json encode - This is a pretty save way to check for valide json code
    ;;
    *)
        response_with_html
        exit 0
    ;;
    esac

else
    response_with_html
    exit 0
fi

# Some Commands ...

response_with_json

exit 0

Вы получите {"message":"Hello World!"} качестве ответа при отправке JSON-Data через POST в этот скрипт. Каждая вещь получит html-документ.

Важным является также varialbe $JSON . Эта переменная свободна от XSS, но все же может иметь неправильные значения в ней и должна быть проверена в первую очередь. Пожалуйста, имейте это в виду.

Этот код работает аналогично без JSON.
Вы можете получить любые данные таким образом.
Вам просто нужно изменить Content-Type для ваших нужд.

Пример:

if [ "$REQUEST_METHOD" = "POST" ]; then 
    case "$CONTENT_TYPE" in
    application/x-www-form-urlencoded)
            read -n "$CONTENT_LENGTH" QUERY_STRING_POST
    text/plain)
            read -n "$CONTENT_LENGTH" QUERY_STRING_POST
    ;;
    esac
fi

И последнее, но не менее важное: не забудьте ответить на все запросы, иначе сторонние программы не узнают, если они преуспели



Modified text is an extract of the original Stack Overflow Documentation
Лицензировано согласно CC BY-SA 3.0
Не связан с Stack Overflow