gửi biểu mẫu GET với tham số chuỗi truy vấn và tham số ẩn

Xem xét hình thức này:

<form action="http://www.blabla.com?a=1&b=2" method="GET">
    <input type="hidden" name="c" value="3" /> 
</form>

Khi gửi biểu mẫu này (biểu mẫu GET), các tham số a và b sẽ biến mất. Có một lý do cho điều đó? Có cách nào để tránh hành vi này?

Không phải đó là những thông số ẩn nào để bắt đầu với ...?

<form action="http://www.example.com" method="GET">
  <input type="hidden" name="a" value="1" /> 
  <input type="hidden" name="b" value="2" /> 
  <input type="hidden" name="c" value="3" /> 
  <input type="submit" /> 
</form>

Tôi sẽ không dựa vào bất kỳ trình duyệt nào giữ lại bất kỳ chuỗi truy vấn hiện có nào trong URL hành động.

Như thông số kỹ thuật ( RFC1866 , trang 46; HTML 4.x phần 17.13.3) trạng thái:

Nếu phương thức là "get" và hành động là URI HTTP, tác nhân người dùng sẽ nhận giá trị của hành động, nối thêm một `? ' vào đó, sau đó nối thêm tập dữ liệu biểu mẫu, được mã hóa bằng loại nội dung "application / x-www-form-urlencoding".

Có lẽ ai đó có thể mã hóa phần trăm URL hành động để nhúng dấu hỏi và tham số, sau đó bắt chéo ngón tay của một người để hy vọng tất cả các trình duyệt sẽ rời URL đó (và xác thực rằng máy chủ cũng hiểu nó). Nhưng tôi không bao giờ dựa vào điều đó.

Nhân tiện: nó không khác nhau đối với các trường mẫu không ẩn. Đối với POST, URL hành động có thể chứa một chuỗi truy vấn.

Trong HTML5, đây là hành vi theo từng thông số.

Xem http://www.w3.org/TR/2011/WD-html5-20110525/association-of-controls-and-forms.html#form-submission-alacticm

Xem "Thuật toán gửi biểu mẫu 4.10.22.3", bước 17. Trong trường hợp biểu mẫu GET thành URI http / s với chuỗi truy vấn:

Đặt đích là một URL mới bằng với hành động ngoại trừ <query>thành phần của nó được thay thế bằng truy vấn (thêm ký tự U + 003F CÂU HỎI CÂU HỎI (?) Nếu thích hợp).

Vì vậy, trình duyệt của bạn sẽ loại bỏ phần "? ..." hiện có trong URI của bạn và thay thế nó bằng một phần mới dựa trên biểu mẫu của bạn.

Trong HTML 4.01, thông số kỹ thuật tạo ra các URI không hợp lệ - hầu hết các trình duyệt không thực sự làm điều này mặc dù ..

Xem http://www.w3.org/TR/html401/interact/forms.html#h-17.13.3 , bước bốn - URI sẽ có? nối thêm, ngay cả khi nó đã chứa một.

Những gì bạn có thể làm là sử dụng một foreach đơn giản trên bảng chứa thông tin GET. Ví dụ trong php:

foreach ($_GET as $key => $value) {
    echo("<input type='hidden' name='$key' value='$value'/>");
}

Bạn nên bao gồm hai mục (a và b) làm các yếu tố đầu vào ẩn cũng như C.

Tôi đã có một vấn đề rất giống với hành động biểu mẫu, tôi có một cái gì đó như:

<form action="http://www.example.com/?q=content/something" method="GET">
   <input type="submit" value="Go away..." />&nbsp;
</form>

Nút này sẽ đưa người dùng đến trang web, nhưng thông tin truy vấn biến mất để người dùng hạ cánh trên trang chủ thay vì trang nội dung mong muốn. Giải pháp trong trường hợp của tôi là tìm ra cách mã URL mà không cần truy vấn sẽ đưa người dùng đến trang mong muốn. Trong trường hợp này, mục tiêu của tôi là một trang web Drupal, vì vậy hóa ra nó /content/somethingcũng hoạt động. Tôi cũng có thể đã sử dụng một số nút (tức là /node/123).

Nếu bạn cần giải pháp thay thế, vì hình thức này có thể được đặt trong các hệ thống của bên thứ 3, bạn có thể sử dụng Apache mod_rewrite như thế này:

RewriteRule ^dummy.link$ index.php?a=1&b=2 [QSA,L]

sau đó hình thức mới của bạn sẽ trông như thế này:

<form ... action="http:/www.blabla.com/dummy.link" method="GET">
<input type="hidden" name="c" value="3" /> 
</form>

và Apache sẽ nối tham số thứ 3 vào truy vấn

Xây dựng của bạn là bất hợp pháp. Bạn không thể bao gồm các tham số trong giá trị hành động của biểu mẫu. Điều gì xảy ra nếu bạn thử điều này sẽ phụ thuộc vào các yêu cầu của trình duyệt. Tôi sẽ không ngạc nhiên nếu nó hoạt động với một trình duyệt chứ không phải trình duyệt khác. Ngay cả khi nó có vẻ hoạt động, tôi sẽ không dựa vào nó, bởi vì phiên bản tiếp theo của trình duyệt có thể thay đổi hành vi.

"Nhưng giả sử tôi có các tham số trong chuỗi truy vấn và trong các đầu vào ẩn, tôi có thể làm gì?" Những gì bạn có thể làm là sửa lỗi. Không được ngáy, nhưng điều này giống như hỏi, "Nhưng giả sử URL của tôi sử dụng dấu phần trăm thay vì dấu gạch chéo, tôi có thể làm gì?" Câu trả lời duy nhất có thể là, bạn có thể sửa URL.

Điều này là để đáp lại bài viết trên của Efx:

Nếu URL đã chứa var bạn muốn thay đổi, thì nó lại được thêm vào dưới dạng một trường ẩn.

Dưới đây là sửa đổi mã đó để ngăn việc sao chép các vars trong URL:

foreach ($_GET as $key => $value) {
    if ($key != "my_key") {
        echo("<input type='hidden' name='$key' value='$value'/>");
    }
}

<form ... action="http:/www.blabla.com?a=1&b=2" method ="POST">
<input type="hidden" name="c" value="3" /> 
</form>

thay đổi phương thức yêu cầu thành 'POST' thay vì 'GET'.

Tôi thường viết một cái gì đó như thế này:

foreach($_GET as $key=>$content){
        echo "<input type='hidden' name='$key' value='$content'/>";
}

Điều này đang hoạt động, nhưng đừng quên vệ sinh đầu vào của bạn chống lại các cuộc tấn công XSS!