在标准中,只有字母和数字[0-9a-zA-Z]、一些特殊符号"$-_.+!*'(),"[不包括双引号]、以及某些保留字,才可以不经过编码直接用于URL。但是比如我们搜索时,往往会输入汉字,所以汉字在URL中是不被允许的,就必须要使用编码了。 但是escape、encodeURI和encodeURIComponent的区别在哪? 我们该如何选择呢?
escape()
禁止使用这个方法,在ES3中这个方法就已经被废弃了。
encodeURI()
当你希望编码一个有效的、可工作的URL时,就使用这个方法:
encodeURI("http://www.google.com/a file with spaces.html")
可以得到:
http://www.google.com/a%20file%20with%20spaces.html
那么这个网址是可以访问的。
但是如果我们使用encodeURIComponent就不行了,他会破坏整个url,如下:
http%3A%2F%2Fwww.google.com%2Fa%20file%20with%20spaces.html
这个网址显然就不能访问了。
encodeURIComponent()
当你希望编码一个url的参数时,就可以使用encodeURIComponent,如下所示:
param1 = encodeURIComponent("http://example.com/?a=12&b=55")
然后你就可以创建一个URL了,如下:
url = "http://domain.com/?param1=" + param1 + "¶m2=99";
这个url就是可以访问的。 最终你会得到下面的完整的url:
http://www.domain.com/?param1=http%3A%2F%2Fxyz.com%2F%Ffa%3D12%26b%3D55¶m2=99
注意
值得注意的是, encodeURIComponent 不会编码', 即不会编码单引号这个字符。
一个普遍的bug就是使用它来创建一个html属性,如href='MyUrl', 这样将会遭受一个注入bug。 如果你要从strings中创建一个html, 就使用"而不是使用'作为属性的引号,或者添加一个额外的layer。(' 可以被编码为%27)