关于javascript：你什么时候应该使用escape而不是encodeURI / encodeURIComponent？

When are you supposed to use escape instead of encodeURI / encodeURIComponent?

当对发送到Web服务器的查询字符串进行编码时-您何时使用escape()，何时使用encodeURI()或encodeURIComponent()：

使用逃逸：

1	escape("% +&=");

或

使用encodeuri()/encodeuricomponent())

1
2
3

encodeURI("http://www.google.com?var1=value1&var2=value2");

encodeURIComponent("var1=value1&var2=value2");

相关讨论

逃逸()

不要使用它！escape()的定义见第B.2.1.2节"转义"，附录B的引言文本称：

... All of the language features and behaviours specified in this annex have one or more undesirable characteristics and in the absence of legacy usage would be removed from this specification. ...
... Programmers should not use or assume the existence of these features and behaviours when writing new ECMAScript code....

Behaviour：

https://developer.mozilla.org/en-us/docs/web/javascript/reference/global_objects/escape

特殊字符编码，但：@*.-.除外。/

字符的十六进制形式，其代码单位值为0xff或更小，是一个两位数的转义序列：%xx。

对于代码单位较大的字符，使用四位格式%uxxxx。在查询字符串(如RFC3986中定义)中不允许这样做：

1
2
3
4
5
6

query = *( pchar /"/" /"?" )
pchar = unreserved / pct-encoded / sub-delims /":" /"@"
unreserved = ALPHA / DIGIT /"-" /"." /"_" /"~"
pct-encoded ="%" HEXDIG HEXDIG
sub-delims ="!" /"$" /"&" /"'" /"(" /")"
/"*" /"+" /"," /";" /"="

只有在百分号后面直接跟两个十六进制数字时才允许使用百分号，不允许使用百分号后面跟u。

EnCODURURE()

当需要工作的URL时，请使用encodeuri。打这个电话：

1	encodeURI("http://www.example.org/a file with spaces.html")

得到：

1	http://www.example.org/a%20file%20with%20spaces.html

不要调用encodeuricomponent，因为它会破坏URL并返回

1	http%3A%2F%2Fwww.example.org%2Fa%20file%20with%20spaces.html

编码成分()

要对URL参数的值进行编码时，请使用encodeuricomponent。

然后您可以创建所需的URL：

1	var url ="http://example.net/?param1=" + p1 +"&param2=99";

你会得到这个完整的网址：

http://example.net/?param1=http%3A%2F%2Fexample.org%2F%Ffa%3D12%26b%3D55¶m2=99

注意，编码成分不能逃逸'字符。一个常见的错误是使用它来创建HTML属性，如href='MyUrl'，这可能会导致注入错误。如果要从字符串构造HTML，请使用"而不是'作为属性引号，或者添加一个额外的编码层('可以编码为%27)。

有关此类编码的详细信息，请查看：http://en.wikipedia.org/wiki/percent-encoding

相关讨论

@弗朗索瓦，根据接收服务器的不同，它可能无法正确解码escape是如何编码高位ASCII字符还是非ASCII字符，如：&226；？？？？？？？和234？？？？？？？例如，如果用bye-escape编码，python的fieldstorage类将无法正确地解码上述字符串。
@francois escape()对下面的128个ascii字符进行编码，但字母、数字和*@-./除外，而unescape()则是escape()的倒数。据我所知，它们是为编码URL而设计的遗留函数，并且仍然是为向后兼容而实现的。通常，除非与为其设计的应用程序/Web服务等交互，否则不应使用它们。
当然，除非您试图传递一个URL作为一个URI组件，在这种情况下，调用encodeuricomponent。
escape()不支持Unicode，并且在某些版本的浏览器上不可用，例如FF
有时它不能逃逸某些字符，如'符号，所以我使用encodeuricomponent(encodeuricomponent($string))。这是唯一的方法吗？
为什么它不处理单引号？
@Eric它不编码单引号，因为单引号是一个在URI(RFC-3986)中出现的完全有效的字符。当您在HTML中嵌入一个URI时，就会出现问题，其中单引号不是有效字符。随后，在将uri放入HTML文档之前，它还应该是"HTML编码的"(它将用'替换')。
@李-当您说"在HTML中嵌入一个URI"时，我假定您的意思是将一个URI分配给，例如，href或src属性。例如，或。
@戴维德那是我所指的案例之一。事实上，'在技术上不是HTML文档正常内容中任何地方的有效字符(尽管在实践中，大多数浏览器会很好地处理它，只要它不在属性值内)。无论如何，为了在技术上正确，所有内容(包括uri)都应该在HTML属性或HTML元素的文本内容中的任何位置之前进行HTML编码。(显然，某些特殊元素(如和cdata部分)不受此要求的约束)。
@Lee-我对W3CHTML5建议的解读表明，'可以出现在HTML文档中。例如，考虑单引号属性值语法中给出的示例：。并且来自普通元素："普通元素可以有文本、字符引用、其他元素和注释，但是文本不能包含字符"<"(U+003C)或不明确的和号。"另请参见此答案。
@davidrr '是(并且一直是)HTML中属性值周围的有效分隔符。当然，"是另一个有效的属性值分隔符。由于这个原因，早期版本的HTML(或者可能只是早期的浏览器)将'、"和一些其他字符视为保留字符，在正常内容中遇到这些字符时处理不好。(我所说的"正常内容"，是指属性值内以及元素的文本内容内)只要上下文明确，HTML5(和现代浏览器)的确允许在CDATA块中使用任何字符。
@Lee-关于元素和属性的文本内容：请参阅我的问题的答案，该答案用于HTML中的""；"实体。这个问题涉及双引号；我相信类似的推理也适用于单引号。我的结论是：
"Double-quoted expression"</p>和

'Single-quoted expression'</p>都是有效的。我邀请你对我引用的问题发表评论或添加你自己的答案。我觉得这比继续我们的对话要好…
@大卫-根本不跟你争论。我承认我说的不正确，"'在技术上不是HTML内容中任何地方的有效字符"。也就是说，我个人和直接遇到了在HTML文档的文本内容中使用未编码引号的呈现问题，但那是很久以前的事了，当时浏览器基本上对所有内容都很差，甚至不是主流浏览器都严格遵守规范。我很高兴我们把那些日子抛在后面了。当您在旧文档中遇到这个问题时，请知道它是基于实际的时间问题。
@戴维德-根据要求，我在另一条线索上发布了一个答案，在这个问题的背景下详细阐述了这个问题。
您的意思是，对于注入错误，我们可以将HTML标记属性值用单引号括起来吗？
我在ES3和ES5标准中都看到了escape。你为什么说它被否决了？
@埃里克，我已经决定用逃跑

encodeURI()和encodeURIComponent()的区别是由encodeuricomponent而不是encodeuri编码的11个字符：

Table with the ten differences between encodeURI and encodeURIComponent

我用Google Chrome中的console.table轻松生成了这个表，代码如下：

1
2
3
4
5
6
7
8
9
10
11
12

相关讨论

我发现这篇文章很有启发性：javascript疯狂：查询字符串解析

当我试图理解为什么解码组件没有正确解码"+"时，我发现了它。以下是摘录：

1
2
3
4
5
6
7
8
9
10
11

String: "A + B"
Expected Query String Encoding:"A+%2B+B"
escape("A + B") = "A%20+%20B" Wrong!
encodeURI("A + B") = "A%20+%20B" Wrong!
encodeURIComponent("A + B") = "A%20%2B%20B" Acceptable, but strange

Encoded String: "A+%2B+B"
Expected Decoding: "A + B"
unescape("A+%2B+B") = "A+++B" Wrong!
decodeURI("A+%2B+B") = "A+++B" Wrong!
decodeURIComponent("A+%2B+B") ="A+++B" Wrong!

相关讨论

encodeuricomponent不编码-_.!~*'()，导致在XML字符串中向php发布数据时出现问题。

例如：

带encodeURI的一般转义
%3Cxml%3E%3Ctext%20x=%22100%22%20y=%22150%22%20value=%22It's%20a%20value%20with%20single%20quote%22%20/%3E%20%3C/xml%3E

可以看到，单引号没有编码。为了解决问题，我创建了两个函数来解决项目中的问题，用于编码URL：

1
2
3

function encodeData(s:String):String{
return encodeURIComponent(s).replace(/\-/g,"%2D").replace(/\_/g,"%5F").replace(/\./g,"%2E").replace(/\!/g,"%21").replace(/\~/g,"%7E").replace(/\*/g,"%2A").replace(/\'/g,"%27").replace(/$/g,"%28").replace(/$/g,"%29");
}

对于解码URL：

1
2
3
4
5
6
7

function decodeData(s:String):String{
try{
return decodeURIComponent(s.replace(/\%2D/g,"-").replace(/\%5F/g,"_").replace(/\%2E/g,".").replace(/\%21/g,"!").replace(/\%7E/g,"~").replace(/\%2A/g,"*").replace(/\%27/g,"'").replace(/\%28/g,"(").replace(/\%29/g,")"));
}catch (e:Error) {
}
return"";
}

相关讨论

encodeuri()-escape()函数用于JavaScript转义，而不是HTTP。

相关讨论

小型比较表JAVA与JavaScript与PHP。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

1. Java URLEncoder.encode (using UTF8 charset)
2. JavaScript encodeURIComponent
3. JavaScript escape
4. PHP urlencode
5. PHP rawurlencode

char JAVA JavaScript --PHP---
[ ] + %20 %20 + %20
[!] %21 ! %21 %21 %21
[*] * * * %2A %2A
['] %27 ' %27 %27 %27
[(] %28 ( %28 %28 %28
[)] %29 ) %29 %29 %29
[;] %3B %3B %3B %3B %3B
[:] %3A %3A %3A %3A %3A
[@] %40 %40 @ %40 %40
[&] %26 %26 %26 %26 %26
[=] %3D %3D %3D %3D %3D
[+] %2B %2B + %2B %2B
[$] %24 %24 %24 %24 %24
[,] %2C %2C %2C %2C %2C
[/] %2F %2F / %2F %2F
[?] %3F %3F %3F %3F %3F
[#] %23 %23 %23 %23 %23
[[] %5B %5B %5B %5B %5B
[]] %5D %5D %5D %5D %5D
----------------------------------------
[~] %7E ~ %7E %7E ~
[-] - - - - -
[_] _ _ _ _ _
[%] %25 %25 %25 %25 %25
[\] %5C %5C %5C %5C %5C
----------------------------------------
char -JAVA- --JavaScript-- -----PHP------
[?] %C3%A4 %C3%A4 %E4 %C3%A4 %C3%A4
[ф] %D1%84 %D1%84 %u0444 %D1%84 %D1%84

相关讨论

我建议不要使用这些方法中的一种。写出你自己的函数，它能做正确的事情。

MDN给出了一个很好的URL编码示例，如下所示。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

var fileName = 'my file(2).txt';
var header ="Content-Disposition: attachment; filename*=UTF-8''" + encodeRFC5987ValueChars(fileName);

console.log(header);
// logs"Content-Disposition: attachment; filename*=UTF-8''my%20file%282%29.txt"

function encodeRFC5987ValueChars (str) {
return encodeURIComponent(str).
// Note that although RFC3986 reserves"!", RFC5987 does not,
// so we do not need to escape it
replace(/['()]/g, escape). // i.e., %27 %28 %29
replace(/\*/g, '%2A').
// The following are not required for percent-encoding per RFC5987,
// so we can allow for a little better readability over the wire: |`^
replace(/%(?:7C|60|5E)/g, unescape);
}

https://developer.mozilla.org/en-us/docs/web/javascript/reference/global_objects/encodeuricomponent

相关讨论

还要记住，它们都对不同的字符集进行编码，并适当地选择所需的字符集。encodeUri()编码的字符数少于encodeUriComponent()，后者比escape()编码的字符数更少(也不同于dannyp的点)。

为了编码，javascript提供了三个内置函数-

escape()-不编码@*/+。此方法在ECMA 3之后被弃用，因此应避免使用。

encodeuri()-不编码~!@#$&*()=:/,;?+'。它假定URI是一个完整的URI，因此不会对URI中具有特殊含义的保留字符进行编码。此方法用于转换完整的URL，而不是某些特殊的URL段。示例-encodeURI('http://stackoverflow.com');将给出-http://stackoverflow.com

encodeuricomponent()-不编码- _ . ! ~ * ' ( )。此函数通过用表示字符的UTF-8编码的一个、两个、三个或四个转义序列替换特定字符的每个实例来对统一资源标识符(URI)组件进行编码。此方法应用于转换URL的组件。例如，需要附加一些用户输入示例-encodeURI('http://stackoverflow.com');将给出-http%3a%2f%2fstackoverflow.com

所有这些编码都是以UTF 8执行的，即字符将以UTF-8格式转换。

encodeuricomponent与encodeuri的不同之处在于，它对encodeuri的保留字符和数字符号进行编码。

我发现，即使在掌握了各种方法的各种用途和功能之后，使用各种方法进行试验也是一种良好的健全性检查。

为此，我发现这个网站非常有用，以证实我的怀疑，我正在做适当的事情。它也被证明有助于解码一个编码组成的字符串，这可能是相当困难的解释。一个很好的书签：

http://www.the-art-of-web.com/javascript/escape/

受约翰桌子的启发，我决定扩大桌子。我想看看哪些ASCII字符被编码。

screenshot of console.table

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

表仅显示编码字符。空单元格表示原始字符和编码字符相同。

另外，我要为urlencode()和rawurlencode()添加另一个表。唯一的区别似乎是空间字符的编码。

screenshot of console.table

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

<?php
$ascii = str_split(" !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~", 1);
$encoded = [];
foreach ($ascii as $char) {
$obj = ["char" => $char];
if ($char != urlencode($char))
$obj["urlencode"] = urlencode($char);
if ($char != rawurlencode($char))
$obj["rawurlencode"] = rawurlencode($char);
if (isset($obj["rawurlencode"]) || isset($obj["rawurlencode"]))
$encoded[] = $obj;
}
echo"var encoded =" . json_encode($encoded) .";";
?>
console.table(encoded);

现代改写@johann echavaria的答案：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

console.log(
Array(256)
.fill()
.map((ignore, i) => String.fromCharCode(i))
.filter(
(char) =>
encodeURI(char) !== encodeURIComponent(char)
? {
character: char,
encodeURI: encodeURI(char),
encodeURIComponent: encodeURIComponent(char)
}
: false
)
)

或者，如果可以使用表，则将console.log替换为console.table(用于更漂亮的输出)。

公认的答案是好的。在最后一部分进行扩展：

Note that encodeURIComponent does not escape the ' character. A common
bug is to use it to create html attributes such as href='MyUrl', which
could suffer an injection bug. If you are constructing html from
strings, either use" instead of ' for attribute quotes, or add an
extra layer of encoding (' can be encoded as %27).

如果您希望在安全方面，也应该对未保留字符的百分比编码进行编码。

您可以使用此方法来转义它们(源代码mozilla)

1
2
3
4
5
6
7

function fixedEncodeURIComponent(str) {
return encodeURIComponent(str).replace(/[!'()*]/g, function(c) {
return '%' + c.charCodeAt(0).toString(16);
});
}

// fixedEncodeURIComponent("'") -->"%27"

我有这个功能…

1
2
3
4
5
6
7

var escapeURIparam = function(url) {
if (encodeURIComponent) url = encodeURIComponent(url);
else if (encodeURI) url = encodeURI(url);
else url = escape(url);
url = url.replace(/\+/g, '%2B'); // Force the replacement of"+"
return url;
};

相关讨论