html - 使用 `javascript:` 伪协议(protocol)的 URL 编码规则？

Question

关于伪协议(protocol)javascript: 的URL 语法和编码是否有任何权威引用？ (我知道它没有得到很好的考虑，但无论如何它对小书签很有用)。

首先，我们知道标准URLs遵循语法:

scheme://username:password@domain:port/path?query_string#anchor

但这种格式在这里似乎并不适用。事实上，用 URI 代替 URL 似乎更正确:here列出了“非官方”格式 javascript:{body}。

那么，当嵌入到 HTML 中时，这样的 URI 的有效字符是什么(转义/非转义规则是什么)？

具体来说，如果我有一个 javascript 函数的代码并且我想将它嵌入到一个 javascript: URI 中，哪些是要应用的转义规则？

当然，可以转义每个非字母数字字符，但那样做就太过分了，而且会使代码不可读。我只想转义必要的字符。

此外，很明显使用一些 urlencode 是不好的。/urldecode例程对(那些用于查询字符串值)，例如，我们不想将“+”解码为空格。

Answer 1

到目前为止，我的发现:

首先，有编写有效 HTML 属性值的规则:但这里的标准只需要(如果属性值包含在引号中)任意 CDATA(实际上是 %URI ，但 HTML 本身并不强加额外的在其级别上进行验证:任何 CDATA 都会进行验证)。

一些例子:

 <a href="javascript:alert('Hi!')">     (1)
 <a href="javascript:if(a > b && 1 < 0) alert(  b ? 'hi' : 'bye')">   (2)
 <a href="javascript:if(a&gt;b &amp;&&amp; 1 &lt; 0) alert( b ? 'hi' : 'bye')">  (3)

例子(1)是有效的。但示例 (2) 也是有效的 HTML 4.01 Strict。为了使其成为有效的 XHTML，我们只需要转义 XML 特殊字符 < > & (示例 3 是有效的 XHTML 1.0 Strict)。

现在，示例 (2) 是一个有效的 javascript:网址？我不确定，但我会说不是。

来自 RFC 2396 : URI 受到一些附加限制，特别是通过 %xx 的转义/转义。序列。有些字符总是被禁止的: 其中空格和{}# .

RFC 还定义了 opaque URIs 的一个子集: 那些没有层次结构的组件，并且分隔字符没有特殊含义(例如，它们没有“查询字符串”，因此 ? 可以用作任何非特殊字符)。我假设 javascript:其中应考虑 URI。

这意味着 javascript: 的“主体”内的有效字符URI 是

 a-zA-Z0-9 
 _|. !~*'();?:@&=+$,/-   
 %hh : (escape sequence, with two hexadecimal digits)

加上不能以/ 开头的额外限制. 这张剧照遗漏了一些“重要”的 ASCII 字符，例如

{}#[]<>^\

还有 % (因为它用于转义序列)，双引号 "和(最重要的)所有空白。

在某些方面，这似乎相当宽松:重要的是要注意 +是有效的(因此在解码时不应将其作为空格“未转义”)。

但在其他方面，似乎限制太多。大括号和方括号，特别是:我知道它们通常未转义使用，浏览器没有问题。

那么空格呢？作为大括号，RFC 不允许使用它们，但我认为这种 URI 没有问题。但是，我看到在大多数小书签中它们被转义为“%20”。对此有任何(经验或理论)解释吗？

我仍然不知道是否有一些标准函数可以使这种转义/反转义(在主流语言中)或一些示例代码。