URL编码:完整指南

URL是为ASCII文本设计的,具有具有特殊含义的保留字符。?字符开始查询字符串,&分隔参数,=分配值,#标记片段。如果您的数据包含这些字符,它们必须被编码以避免误解。

想象搜索「Tom & Jerry」。如果没有编码,?q=Tom & Jerry会将&视为参数分隔符,从而破坏查询。正确编码:?q=Tom%20%26%20Jerry将整个字符串视为一个值。

非ASCII字符也必须编码。URL只能包含ASCII。国际字符如ü、漢、или必须成为百分号编码字节才能出现在URL中。

空格是常见的特殊情况。它们可以编码为%20或有时编码为+(但仅在查询字符串中)。这种不一致导致常见错误。使用%20以获得最可靠的兼容性。

安全影响很重要。URL中未编码的用户输入可能导致XSS漏洞、注入攻击和URL操纵。始终编码放置在URL中的用户生成内容。

JavaScript提供了几个具有不同行为的URL编码函数。选择错误的会破坏URL或暴露安全漏洞。

encodeURIComponent()通常是您想要的。它编码除A-Z a-z 0-9 - _ . ! ~ * ' ( )之外的所有内容。将其用于参数值:'?name=' + encodeURIComponent(userInput)。

encodeURI()编码完整URL并保留保留字符如: / ? &未编码。将其用于整个URL:encodeURI('https://example.com/path?q=test')。但它不会正确处理包含保留字符的参数值。

关键区别:encodeURI('a&b')返回'a&b'(&保持)。encodeURIComponent('a&b')返回'a%26b'(&被编码)。对于大多数用例,encodeURIComponent对于值是正确的。

对于解码,使用decodeURIComponent()用于单个值,使用decodeURI()用于完整URL。

传统函数escape()和unescape()已弃用,并且不能正确处理Unicode。永远不要在新代码中使用它们。