4. Security Considerations (Considerazioni sulla sicurezza)
Un modello URI non contiene contenuto attivo o eseguibile. Tuttavia, potrebbe essere possibile creare URI imprevisti se un attaccante ottiene il controllo del modello o dei valori delle variabili all'interno di un'espressione che consente caratteri riservati nell'espansione. In entrambi i casi, le considerazioni sulla sicurezza sono determinate in gran parte da chi fornisce il modello, chi fornisce i valori da utilizzare per le variabili all'interno del modello, in quale contesto di esecuzione si verifica l'espansione (client o server) e dove vengono utilizzati gli URI risultanti.
Questa specifica non limita dove possono essere utilizzati i modelli URI. Le implementazioni attuali esistono all'interno di framework di sviluppo lato server e all'interno di JavaScript lato client per collegamenti o moduli calcolati.
All'interno dei framework, i modelli di solito fungono da guide per indicare dove i dati potrebbero verificarsi in URI successivi (al momento della richiesta) nelle richieste client. Pertanto, le preoccupazioni sulla sicurezza non riguardano i modelli stessi, ma piuttosto il modo in cui il server estrae ed elabora i dati forniti dall'utente in una normale richiesta Web.
All'interno delle implementazioni lato client, un modello URI ha molte delle stesse proprietà dei moduli HTML, tranne per il fatto che è limitato ai caratteri URI e potrebbe essere incluso nei valori dei campi di intestazione HTTP invece che solo nel contenuto del corpo del messaggio. Si dovrebbe prestare attenzione per garantire che stringhe di riferimento URI potenzialmente pericolose, come quelle che iniziano con "javascript:", non appaiano nell'espansione a meno che sia il modello che i valori non siano forniti da una fonte affidabile.
Altre considerazioni sulla sicurezza sono le stesse di quelle per gli URI, come descritto nella Sezione 7 di [RFC3986].