Кодировать URL в JavaScript?

Question

Кодировать URL в JavaScript?

2026

Как вы безопасно кодируете URL-адрес с помощью JavaScript, чтобы его можно было поместить в строку GET?

var myUrl = "http://example.com/index.html?param=1&anotherParam=2";
var myOtherUrl = "http://example.com/index.html?url=" + myUrl;

Я предполагаю, что вам нужно закодировать переменную myUrl на этой второй строке?

nickf 02 дек. 2008, в 02:21

Источник

16

Попробуйте заглянуть в encodeURI () и decodeURI () .
Zack The Human 02 дек. 2008, в 02:39
0

Смотрите функцию JavaScript urlencode .
Yanni 30 июнь 2011, в 16:40
1

Вы можете использовать этот инструмент здесь: phillihp.com/toolz/url-encode-decode
phillihp 18 сен. 2012, в 02:13
0

encodeURIComponent ()
Andrew 02 март 2018, в 18:52

Показать ещё 2 комментария

Теги:

javascript

url

encoding

12 ответов

1374

У вас есть три варианта:

escape() не будет кодироваться: @*/+
encodeURI() не будет кодироваться: ~!@#$&*()=:/,;?+'
encodeURIComponent() не будет кодироваться: ~!*()'

Но в вашем случае, если вы хотите передать URL в параметр GET другой страницы, вы должны использовать escape или encodeURIComponent, но не encodeURI.

Смотрите вопрос о переполнении стека Лучшая практика: escape или encodeURI/encodeURIComponent для дальнейшего обсуждения.

CMS 02 дек. 2008, в 04:42

73

Кодировка символов, используемая с escape, является переменной. Палка с encodeURI и encodeURIComponent, которые используют UTF-8.
erickson 02 дек. 2008, в 04:55
6

Быть осторожен. Этот escape преобразует не-ASCII символы в его escape-последовательности Unicode, такие как %uxxx .
opteronn 05 март 2010, в 20:10
4

Я использую encodeURIComponent и заметил, что он не будет кодировать символы канала |
kevzettler 30 янв. 2011, в 05:05
15

@kevzettler - зачем это делать? Каналы не имеют семантической важности в URI.
nickf 31 янв. 2011, в 11:36
1

Кто-нибудь использует не-ASCII символы в URI?
fiatjaf 05 июль 2013, в 21:45
4

@GiovanniP: Люди, которые допускают ввод немецких, французских, японских, китайских, арабских символов и передают параметры тезисов через GET или POST.
Tseng 04 сен. 2013, в 14:43
0

ах, хорошо, я думал, что вы говорите о части домена / пути, не знаю, почему я так думал.
fiatjaf 20 сен. 2013, в 23:18
1

encodeURIComponent() закодировал # а encodeURI() нет!
John N 29 окт. 2014, в 19:30
2

@fiatjaf Не-ASCII символы также вполне допустимы в доменах, хотя в системе DNS будет сохранена версия ASCII. en.wikipedia.org/wiki/Internationalized_domain_name
Thor84no 03 нояб. 2014, в 19:12
3

ПРИМЕЧАНИЕ: по состоянию на JavaScript версии 1.5 escape () устарела. Придерживайтесь либо encodeURI (), либо encodeComponent (). developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/...
Dzeimsas Zvirblis 16 дек. 2015, в 15:42

Показать ещё 8 комментариев

150

Придерживайтесь encodeURIComponent(). Функция encodeURI() не требует кодирования многих символов, имеющих смысловое значение в URL-адресах (например, "#", "?" И "&" ). escape() устарел и не удосуживается кодировать символы "+", которые будут интерпретироваться как кодированные пробелы на сервере (и, как отмеченные другими здесь, неправильно кодируют URL-символы, отличные от ASCII).

Существует приятное объяснение разницы между encodeURI() и encodeURIComponent() в другом месте. Если вы хотите что-то закодировать, чтобы можно было безопасно включить его в качестве компонента URI (например, как параметр строки запроса), вы хотите использовать encodeURIComponent().

Mike Brennan 30 май 2011, в 00:21

63

Лично я считаю, что многие API-интерфейсы хотят заменить "" на "+", поэтому я использую следующее:

encodeURIComponent(value).replace(/%20/g,'+');

escape реализуется по-разному в разных браузерах, и encodeURI не кодирует большинство символов, которые являются функциональными в URI (например, # и даже /) - он используется для использования на полном URI/URL, не нарушая его.

ПРИМЕЧАНИЕ. Вы используете encodeURIComponent для значений строки запроса (не имена полей/значений и, определенно, не весь URL-адрес). Если вы сделаете это любым другим способом, он не будет кодировать символы типа =,?, &, Возможно, оставив вашу строку запроса открытой.

Пример:

const escapedValue = encodeURIComponent(value).replace(/%20/g,'+');
const url = 'http://example.com/?myKey=' + escapedValue;

Ryan Taylor 15 дек. 2012, в 09:16

20

Обратите внимание, что вы должны заменять% 20 на символы + только после первого вопросительного знака (который является частью URL запроса). Допустим, я хочу перейти на http://somedomain/this dir has spaces/info.php?a=this has also spaces . Его следует преобразовать в: http://somedomain/this%20dir%20has%spaces/info.php?a=this%20has%20also%20spaces но многие реализации допускают http://somedomain/this%20dir%20has%spaces/info.php?a=this%20has%20also%20spaces «% 20» в строке запроса на «+ ». Тем не менее, вы не можете заменить «% 20» на «+» в разделе пути URL-адреса, это приведет к ошибке «Не найдено», если у вас нет каталога с + вместо пробела.
Jochem Kuijpers 20 янв. 2013, в 01:08
0

@Jochem Kuijpers, определенно, вы бы не поместили «+» в каталог. Я бы применил это только к самим значениям параметров запроса (или ключам, если необходимо), а не ко всему URL-адресу или даже всей строке запроса.
Ryan Taylor 19 июль 2013, в 22:16
0

Я бы заменил в значении, а не в результате кодирования
njzk2 02 июнь 2014, в 18:11
1

@ njzk2, к сожалению, encodeURIComponent('+') даст вам %2B , так что вам придется использовать два регулярных выражения ... что, я полагаю, является причиной того, почему это работает, потому что '+' are '' в конце кодируются по-разному ,
Ryan Taylor 02 июнь 2014, в 18:17
0

Нет смысла переводить% 20 в "+". Допустимая escape-последовательность для пространства ASCII:% 20, а не «+», что не упоминается в RFC 3986 ( tools.ietf.org/html/rfc3986 ). «+» использовался в 1990-х годах; сейчас он устарел и поддерживается только по устаревшим причинам. Не используйте это.
xhienne 26 март 2019, в 12:25
0

@xhienne, конечно, это то, что я заметил в реальном мире на нескольких API, было бы более разумно использовать encodeURIComponent когда это работает - было бы хорошо, если бы люди могли придерживаться одного стандарта! И желательно RFC спец.
Ryan Taylor 26 март 2019, в 15:20

Показать ещё 4 комментария

36

Если вы используете jQuery, я бы пошел на метод $.param. Этот URL-адрес кодирует поля сопоставления объектов для значений, которые легче читать, чем вызов метода escape для каждого значения.

$.param({a:"1=2", b:"Test 1"}) // gets a=1%3D2&b=Test+1

Maksym Kozlenko 13 май 2013, в 05:18

0

Я думаю, что приведенный пример является достаточным. Если вам нужна дополнительная информация о $ .param на api.jquery.com/jquery.param
Maksym Kozlenko 10 сен. 2015, в 10:21
0

Почти все используют jQuery, и я чувствую себя более комфортно с этим вместо encoreURIComponent
Cyril Duchon-Doris 04 янв. 2017, в 16:36

8

Чтобы закодировать URL, как было сказано ранее, у вас есть две функции:

encodeURI()

и

encodeURIComponent()

Причина заключается в том, что первый сохраняет URL-адрес, рискуя оставить слишком много вещей без сохранения, а второй кодирует все необходимое.

Во-первых, вы можете скопировать недавно экранированный URL-адрес в адресную строку (например), и это сработает. Однако ваш неограниченный '& будет вмешиваться в полевые разделители, '= будет мешать именам и значениям полей, а' + будет выглядеть как пробелы. Но для простых данных, когда вы хотите сохранить характер URL-адреса того, что вы ускользаете, это работает.

Во-вторых, все, что вам нужно сделать, чтобы убедиться, что ничто в вашей строке не связано с URL-адресом. Он оставляет различные несущественные символы незанятыми, чтобы URL-адрес оставался максимально понятным для человека без помех. URL-адрес, закодированный таким образом, больше не будет работать как URL-адрес, не отменив его.

Итак, если вы можете потратить время, вы всегда хотите использовать encodeURIComponent() - перед добавлением пар имя/значение кодируйте имя и значение с помощью этой функции, прежде чем добавлять их в строку запроса.

У меня тяжелое время придумывать причины использования encodeURI() - я оставлю это более умным людям.

Gerard ONeill 26 янв. 2017, в 21:59

7

encodeURIComponent() - это путь.

var myOtherUrl = "http://example.com/index.html?url=" + encodeURIComponent(myUrl);

НО вы должны иметь в виду, что существуют небольшие отличия от php version urlencode(), и, как упоминалось в @CMS, он не будет кодировать каждый char. Ребята в http://phpjs.org/functions/urlencode/ сделали js эквивалентным phpencode():

function urlencode(str) {
  str = (str + '')
    .toString();

  // Tilde should be allowed unescaped in future versions of PHP (as reflected below), but if you want to reflect current
  // PHP behavior, you would need to add ".replace(/~/g, '%7E');" to the following.
  return encodeURIComponent(str)
    .replace(/!/g, '%21')
    .replace(/'/g, '%27')
    .replace(/\(/g, '%28')
    .
  replace(/\)/g, '%29')
    .replace(/\*/g, '%2A')
    .replace(/%20/g, '+');
}

Adam Fischer 01 окт. 2015, в 08:20

4

Аналогичная вещь, которую я пробовал с помощью обычного javascript

function fixedEncodeURIComponent(str){
     return encodeURIComponent(str).replace(/[!'()]/g, escape).replace(/\*/g, "%2A");
}

Narayan Yerrabachu 14 май 2013, в 08:12

3

Чтобы предотвратить двойное кодирование, рекомендуется декодировать url перед кодированием (если вы имеете дело с введенными пользователем URL-адресами, например, которые могут быть уже закодированы).

Допустим, что мы имеем abc%20xyz 123 как вход (одно пространство уже закодировано):

encodeURI("abc%20xyz 123")            //   wrong: "abc%2520xyz%20123"
encodeURI(decodeURI("abc%20xyz 123")) // correct: "abc%20xyz%20123"

serg 05 янв. 2017, в 20:32

2

Ничего не работало для меня. Все, что я видел, это HTML-страница входа в систему, возвращающаяся на клиентскую сторону с кодом 200. (302 сначала, но тот же Ajax-запрос, загружающий страницу входа в другой Ajax-запрос, который должен был быть перенаправлением, а не загрузкой простого текст страницы входа в систему).

В контроллере входа я добавил эту строку:

Response.Headers["land"] = "login";

И в глобальном обработчике Ajax я сделал это:

$(function () {
    var $document = $(document);
    $document.ajaxSuccess(function (e, response, request) {
        var land = response.getResponseHeader('land');
        var redrUrl = '/login?ReturnUrl=' + encodeURIComponent(window.location);
        if(land) {
            if (land.toString() === 'login') {
                window.location = redrUrl;
            }
        }
    });
});

Теперь у меня нет никаких проблем, и это работает как шарм.

Asif Ashraf 22 июнь 2012, в 04:11

1

Кодировать строку URL

    var url = $(location).attr('href'); //get current url
    //OR
    var url = 'folder/index.html?param=#23dd&noob=yes'; //or specify one

var encodedUrl = encodeURIComponent(url);
console.log(encodedUrl);
//outputs folder%2Findex.html%3Fparam%3D%2323dd%26noob%3Dyes


for more info go http://www.sitepoint.com/jquery-decode-url-string

Sangeet Shah 10 сен. 2015, в 07:50

0

Вы можете использовать библиотеку esapi и закодировать свой url, используя следующую функцию. Функция переносит, что '/' не теряются для кодирования, пока остальная часть текстового содержимого закодирована:

function encodeUrl(url)
{
    String arr[] = url.split("/");
    String encodedUrl = "";
    for(int i = 0; i<arr.length; i++)
    {
        encodedUrl = encodedUrl + ESAPI.encoder().encodeForHTML(ESAPI.encoder().encodeForURL(arr[i]));
        if(i<arr.length-1) encodedUrl = encodedUrl + "/";
    }
    return url;
}

https://www.owasp.org/index.php/ESAPI_JavaScript_Readme

Mohith Maratt 27 сен. 2016, в 16:59

Ещё вопросы

Попробуйте заглянуть в encodeURI () и decodeURI () .
Вы можете использовать этот инструмент здесь: phillihp.com/toolz/url-encode-decode
Кодировка символов, используемая с escape, является переменной. Палка с encodeURI и encodeURIComponent, которые используют UTF-8.
Быть осторожен. Этот escape преобразует не-ASCII символы в его escape-последовательности Unicode, такие как %uxxx .
Я использую encodeURIComponent и заметил, что он не будет кодировать символы канала |
@kevzettler - зачем это делать? Каналы не имеют семантической важности в URI.
Кто-нибудь использует не-ASCII символы в URI?
@GiovanniP: Люди, которые допускают ввод немецких, французских, японских, китайских, арабских символов и передают параметры тезисов через GET или POST.
ах, хорошо, я думал, что вы говорите о части домена / пути, не знаю, почему я так думал.
encodeURIComponent() закодировал # а encodeURI() нет!
@fiatjaf Не-ASCII символы также вполне допустимы в доменах, хотя в системе DNS будет сохранена версия ASCII. en.wikipedia.org/wiki/Internationalized_domain_name
ПРИМЕЧАНИЕ: по состоянию на JavaScript версии 1.5 escape () устарела. Придерживайтесь либо encodeURI (), либо encodeComponent (). developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/...
Обратите внимание, что вы должны заменять% 20 на символы + только после первого вопросительного знака (который является частью URL запроса). Допустим, я хочу перейти на http://somedomain/this dir has spaces/info.php?a=this has also spaces . Его следует преобразовать в: http://somedomain/this%20dir%20has%spaces/info.php?a=this%20has%20also%20spaces но многие реализации допускают http://somedomain/this%20dir%20has%spaces/info.php?a=this%20has%20also%20spaces «% 20» в строке запроса на «+ ». Тем не менее, вы не можете заменить «% 20» на «+» в разделе пути URL-адреса, это приведет к ошибке «Не найдено», если у вас нет каталога с + вместо пробела.
@Jochem Kuijpers, определенно, вы бы не поместили «+» в каталог. Я бы применил это только к самим значениям параметров запроса (или ключам, если необходимо), а не ко всему URL-адресу или даже всей строке запроса.
Я бы заменил в значении, а не в результате кодирования
@ njzk2, к сожалению, encodeURIComponent('+') даст вам %2B , так что вам придется использовать два регулярных выражения ... что, я полагаю, является причиной того, почему это работает, потому что '+' are '' в конце кодируются по-разному ,
Нет смысла переводить% 20 в "+". Допустимая escape-последовательность для пространства ASCII:% 20, а не «+», что не упоминается в RFC 3986 ( tools.ietf.org/html/rfc3986 ). «+» использовался в 1990-х годах; сейчас он устарел и поддерживается только по устаревшим причинам. Не используйте это.
@xhienne, конечно, это то, что я заметил в реальном мире на нескольких API, было бы более разумно использовать encodeURIComponent когда это работает - было бы хорошо, если бы люди могли придерживаться одного стандарта! И желательно RFC спец.
Я думаю, что приведенный пример является достаточным. Если вам нужна дополнительная информация о $ .param на api.jquery.com/jquery.param
Почти все используют jQuery, и я чувствую себя более комфортно с этим вместо encoreURIComponent

Buu Nguyen · Accepted Answer · 2008-12-02T03-11-00.000Z

2496

Лучший ответ

Проверьте встроенную функцию encodeURIComponent(str) и encodeURI(str).
В вашем случае это должно работать:

var myOtherUrl = 
       "http://example.com/index.html?url=" + encodeURIComponent(myUrl);

Buu Nguyen 02 дек. 2008, в 03:11

12

Как насчет добавления объяснения, которое дал @cms? escape также является допустимым вариантом.
hitautodestruct 28 окт. 2012, в 11:36
9

в соответствии с @CMS encodeURI не совсем безопасен для кодирования URL.
Ifnot 01 март 2013, в 16:35
12

@AnaelFavre, потому что он предназначен для кодирования всего URL-адреса, который не допускает использование таких символов, как : / , @ и т. Д. Эти два метода нельзя использовать взаимозаменяемо, вы должны знать, что вы кодируете, чтобы использовать правильный метод.
Buu Nguyen 06 март 2013, в 19:32
6

См. Также developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/… и developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/…
Michał Perłakowski 02 янв. 2016, в 18:15
0

Как уже упоминалось в другом ответе на этой странице , этот сайт подробно описывает причину использования этого метода.
Brad Parks 06 май 2016, в 13:07
0

@ BuuNguyen это не работает для меня. Я все еще вижу мои & as & amp; в моем терминале.
node_saini 17 окт. 2016, в 14:31
0

@BuuNguyen: Привет, BuuNguyen, спасибо за полезное решение. пожалуйста, подтвердите меня? Могу ли я использовать метод encodeURIComponent () для кодирования простой строки, потому что в моем приложении я добавляю содержимое строки непосредственно в качестве значения для запроса строкового ключа, а затем его ведущей проблемы XSS. это мой код var mywindow = window .open( "https://" + window.location.host + "center/js/cal.html?context=" + conString + "&date=" + dateString + "&firstName=" + firstName);
Venki 15 дек. 2016, в 09:23
0

@BuuNguyen: Теперь его высказывание &firstName может быть причиной проблемы XSS. И что мне теперь делать? если я firstname то оно будет разрешено или нет? пожалуйста, предложите мне что-нибудь. Ty.
Venki 15 дек. 2016, в 09:28
0

Есть много хороших сайтов, которые позволят вам поиграть с этим: string-io.com - один из них.
germs12 20 июль 2017, в 22:08

Показать ещё 7 комментариев