JavaScript对URL编码的处理

标签 IT工具网 javascript

原问题:Best practice: escape, or encodeURI / encodeURIComponent

当向HTTP服务器发送查询请求时,URL中的查询参数query string该如何处理?

也就是URL encode问题。

为什么要URL encode

为什么要对查询参数进行encode?因为URL标准规定。参考:RFC1738 - Uniform Resource Locators (URL) - 2.2。至于URL标准为什么这么规定,从RFC看来可能的理由是:兼容性和安全性。

HTML文档接受的字符集为Unicode。而URL字符串接受的字符范围为ASCII中的一部分:

”…Only alphanumerics [0-9a-zA-Z], the special characters “$-_.+!*‘(),” [not including the quotes - ed], and reserved characters used for their reserved purposes may be used unencoded within a URL.”

因此,出现在HTML文档中的URL都应该被encode。

具体参考这篇文章:URL Encoding

Percent-encoding

URL encoding是采用包含百分号的编码形式,也叫做Percent-encoding。看wikipedia,直接了当:Percent-encoding

JavaScript中如何URL encode

  • escape()
    • 从ECMAScript3开始已被废弃,别用
  • encodeURI()
    • 当你想得到一个有效的URL时,使用它
    • 它会将一些无效字符转化为Percent-encoding。比如 // return `http://www.google.com/a+file+with+spaces.html` encodeURI("http://www.google.com/a file with spaces.html")
    • 别对一个URL字符串使用encodeURIComponent(),因为它是暴力转换 // return `http%3A%2F%2Fwww.google.com%2Fa+file+with+spaces.html` encodeURI("http://www.google.com/a file with spaces.html")
  • encodeURIComponent()
    • 仅适用于对URL的参数部分进行转换 param1 = encodeURIComponent("http://xyz.com/?a=12&b=55"); url = "http://domain.com/?param1=" + param1 + "&param2=99"; http://www.domain.com/?param1=http%3A%2F%2Fxyz.com%2F%Ffa%3D12%26b%3D55&param2=99;
    • 不转换单引号字符’,存在起代码注入漏洞,比如href='my_url'尤其在使用字符串构建HTML的情况下。因此,对于HTML属性值最好用双引号或者先HTML encoded一遍

相关文章:

javascript - 使用相同的变量创建多个对象

java - 重写(Override)equals和hashCode方法时应考虑的问题

Java将数组转换为List

IT工具网 - 导航

javascript - 如何在SAPUI5中上传Excel文件?

Javascript正则表达式查找不以 "my:"开头的单词

javascript - 如何在 Javascript 中做一个递归计时器

输出Java数组最简单的方式

使用Nginx反向代理,自建CDN加速节点

javascript - 浏览器中的Javascript音频支持-特质