关于伪协议(protocol)javascript:
的URL 语法和编码是否有任何权威引用? (我知道它没有得到很好的考虑,但无论如何它对小书签很有用)。
首先,我们知道标准URLs遵循语法:
scheme://username:password@domain:port/path?query_string#anchor
但这种格式在这里似乎并不适用。事实上,用 URI 代替 URL 似乎更正确:here列出了“非官方”格式 javascript:{body}
。
那么,当嵌入到 HTML 中时,这样的 URI 的有效字符是什么(转义/非转义规则是什么)?
具体来说,如果我有一个 javascript 函数的代码并且我想将它嵌入到一个 javascript:
URI 中,哪些是要应用的转义规则?
当然,可以转义每个非字母数字字符,但那样做就太过分了,而且会使代码不可读。我只想转义必要的字符。
此外,很明显使用一些 urlencode 是不好的。/urldecode例程对(那些用于查询字符串值),例如,我们不想将“+”解码为空格。
最佳答案
到目前为止,我的发现:
首先,有编写有效 HTML 属性值的规则:但这里的标准只需要(如果属性值包含在引号中)任意 CDATA(实际上是 %URI ,但 HTML 本身并不强加额外的在其级别上进行验证:任何 CDATA 都会进行验证)。
一些例子:
<a href="javascript:alert('Hi!')"> (1)
<a href="javascript:if(a > b && 1 < 0) alert( b ? 'hi' : 'bye')"> (2)
<a href="javascript:if(a>b &&& 1 < 0) alert( b ? 'hi' : 'bye')"> (3)
例子(1)是有效的。但示例 (2) 也是有效的 HTML 4.01 Strict。为了使其成为有效的 XHTML,我们只需要转义 XML 特殊字符 < > &
(示例 3 是有效的 XHTML 1.0 Strict)。
现在,示例 (2) 是一个有效的 javascript:
网址?我不确定,但我会说不是。
来自 RFC 2396 : URI 受到一些附加限制,特别是通过 %xx
的转义/转义。序列。有些字符总是被禁止的:
其中空格和{}#
.
RFC 还定义了 opaque URIs
的一个子集: 那些没有层次结构的组件,并且分隔字符没有特殊含义(例如,它们没有“查询字符串”,因此 ?
可以用作任何非特殊字符)。我假设 javascript:
其中应考虑 URI。
这意味着 javascript:
的“主体”内的有效字符URI 是
a-zA-Z0-9
_|. !~*'();?:@&=+$,/-
%hh : (escape sequence, with two hexadecimal digits)
加上不能以/
开头的额外限制.
这张剧照遗漏了一些“重要”的 ASCII 字符,例如
{}#[]<>^\
还有 %
(因为它用于转义序列),双引号 "
和(最重要的)所有空白。
在某些方面,这似乎相当宽松:重要的是要注意 +
是有效的(因此在解码时不应将其作为空格“未转义”)。
但在其他方面,似乎限制太多。大括号和方括号,特别是:我知道它们通常未转义使用,浏览器没有问题。
那么空格呢?作为大括号,RFC 不允许使用它们,但我认为这种 URI 没有问题。但是,我看到在大多数小书签中它们被转义为“%20”。对此有任何(经验或理论)解释吗?
我仍然不知道是否有一些标准函数可以使这种转义/反转义(在主流语言中)或一些示例代码。
关于html - 使用 `javascript:` 伪协议(protocol)的 URL 编码规则?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3259246/