在 URL 中使用重复参数

Question

我们正在内部构建 API，并且经常传递具有多个值的参数。

他们使用：mysite.com?id=1&id=2&id=3

代替：mysite.com?id=1,2,3

我赞成第二种方法，但我很好奇第一种方法是否真的不正确？

Answer 1

我不是 HTTP 专家，但据我了解，关于多个值的 URL 的查询部分没有明确的标准，通常取决于处理请求以解析查询字符串的 CGI。

RFC 1738 第 3.3 节提到了 searchpart，它应该在 ? 之后，但似乎没有详细说明其格式。

http://<host>:<port>/<path>?<searchpart>

Answer 2

在您的第一种方法中，您将获得一个查询字符串值数组，但在第二种方法中，您将获得一个查询字符串值字符串。

Answer 3

我没有（费心）检查哪个 RFC 标准定义了它。 （任何知道这一点的人请在评论中留下参考。）但实际上，mysite.com?id=1&id=2&id=3 方式已经是当表单包含重复字段（通常是复选框）时浏览器会产生的方式。在w3schools example page 中查看它的实际应用。因此，您使用的任何编程语言很有可能已经提供了一些帮助函数来解析这样的输入并可能返回一个列表。

当然，您可以采用自己的方法，例如 mysite.com?id=1,2,3，在这种特殊情况下这还不错。但是您需要实现自己的逻辑来生成和使用这种格式。现在您可能需要也可能不需要考虑自己处理一些极端情况，例如：如果输入格式不正确怎么办，例如mysite.com?id=1,2,？如果逗号本身也可以是有效输入，例如mysite.com?name=Doe,John|Doe,Jane，您是否需要发明另一个分隔符？您是否会使用 json 字符串作为值，例如 mysite.com?name=["John Doe", "Jane Doe"]？等等等等。您的里程可能会有所不同。

Answer 4

值得补充的是，在服务器上对 URL 中重复参数的不一致处理可能会导致漏洞，特别是 server-side HTTP parameter pollution，有一个实际示例 - Client side Http Parameter Pollution - Yahoo! Classic Mail Video Poc。

Answer 5

我想这取决于您使用的技术，以及它如何变得方便。我目前正使用currency=USD,CHF 或currency=USD&currency=CHF 面对同一个问题

我正在使用 Thymeleaf，使用第二个选项可以轻松工作，然后我可以请求类似：${param.currency.contains(currency.value)}。当我尝试使用第一个选项时，它似乎需要像字符串一样的“数组”，所以我需要先拆分然后再包含，这导致我的代码更加混乱。

只要我的 50 美分 :-)