1、eacape(): 該方法不會對 ASCII 字母和數(shù)字進(jìn)行編碼，也不會對下面這些 ASCII 標(biāo)點(diǎn)符號進(jìn)行編碼： * @ - _ + . / 。其他所有的字符都會被轉(zhuǎn)義序列替換。其它情況下escape，encodeURI，encodeURIComponent編碼結(jié)果相同。

   escape對0-255以外的unicode值進(jìn)行編碼時(shí)輸出%u****格式

   可以使用 unescape() 對 escape() 編碼的字符串進(jìn)行解碼。

   ECMAScript v3 反對使用該方法，應(yīng)用使用 decodeURI() 和 decodeURIComponent() 替代它。

2、encodeURI 和 encodeURIComponent

encodeURI 和 encodeURIComponent都是ECMA-262標(biāo)準(zhǔn)中定義的函數(shù),所有兼容這個(gè)標(biāo)準(zhǔn)的語言（如JavaScript, ActionScript）都會實(shí)現(xiàn)這兩個(gè)函數(shù)。它們都是用來對URI （RFC-2396）字符串進(jìn)行編碼的全局函數(shù)，但是它們的處理方式和使用場景有所不同。為了解釋它們的不同，我們首先需要理解RFC-2396中對于 URI中的字符分類：

1>保留字符（reserved characters）：這類字符是URI中的保留關(guān)鍵字符，它們用于分割URI中的各個(gè)部分。這些字符是：";" | "/" | "?" | ":" | "@" | "&" | "=" | "+" | "$" | ","

2>Mark字符（mark characters）：這類字符在RFC-2396中特別定義，但是沒有特別說明用途，可能是和別的RFC標(biāo)準(zhǔn)相關(guān)。 這些字符是："-" | "_" | "." | "!" | "~" | "*" | "'" | "(" | ")"

3>基本字符（alphanum characters）：這類字符是URI中的主體部分，它包括所有的大寫字母、小寫字母和數(shù)字。

在介紹完上面三類字符串后，我們就非常容易來解釋encodeURI和encodeURIComponent函數(shù)的不同之處了：

encodeURI: 該函數(shù)對傳入字符串中的所有非（基本字符、Mark字符和保留字符）進(jìn)行轉(zhuǎn)義編碼（escaping）。所有的需要轉(zhuǎn)義的字符都按照UTF-8編碼轉(zhuǎn)化成 為一個(gè)、兩個(gè)或者三個(gè)字節(jié)的十六進(jìn)制轉(zhuǎn)義字符（％xx）。例如，字符空格" "轉(zhuǎn)換成為"%20"。在這種編碼模式下面，需要編碼的ASCII字符用一個(gè)字節(jié)轉(zhuǎn)義字符代替，在\u0080和\u007ff之間的字符用兩個(gè)字節(jié)轉(zhuǎn)義字符代替，其他16為Unicode字符用三個(gè)字節(jié)轉(zhuǎn)義字符代替。

encodeURIComponent: 該函數(shù)處理方式和encodeURI只有一個(gè)不同點(diǎn)，那就是對于保留字符同樣做轉(zhuǎn)義編碼。這樣url中的參數(shù)和值才不會被#等特殊字符截?cái)唷?比如：http://localhost:8080/xss/XssServlet?username=A&T Plastic，該url，后臺的代碼：

String username = request.getParameter("username");

獲得的username值為A，而不是我們希望的 A&T Plastic。因?yàn)?username=A&T Plastic，其中含有了保留字符&，并且沒有進(jìn)行編碼，所以username的值被其給截?cái)嗔?。所以正確的做法是，對其進(jìn)行編碼：encodeURIComponent("A&T Plastic") == A%26T%20Plastic，然后將上面的連接改為：

http://localhost:8080/xss/XssServlet?username=A%26T%20Plastic，后臺才能獲得正確的值：username==A&T Plastic。

因?yàn)閡sername的值含有了uri的保留字符，所以需要進(jìn)行編碼。

例如，字符":"被轉(zhuǎn)義字符"%3A"代替

之 所以有上面兩個(gè)不同的函數(shù)，是因?yàn)槲覀冊趯慗S代碼的時(shí)候?qū)RI進(jìn)行兩種不同的編碼處理需求。encodeURI可以用來對完整的URI字符串進(jìn)行編碼處理。而encodeURIComponent可以對URI中一個(gè)部分進(jìn)行編碼，從而讓這一部分可以包含一些URI保留字符。這在我們?nèi)粘＞幊讨惺鞘钟杏玫?。比如下面的URI字符串：

http://www.mysite.com/send-to-friend.aspx?url=http://www.mysite.com/product.html

在 這個(gè)URI字符串中。send-to-friend.aspx頁面會創(chuàng)建HTML格式的郵件內(nèi)容，里面會包含一個(gè)鏈接，這個(gè)鏈接的地址就是上面URI字符 串中的url值。顯然上面的url值是URI中的一個(gè)部分，里面包含了URI保留關(guān)鍵字符。我們必須調(diào)用encodeURIComponent對它進(jìn)行編 碼后使用，否則上面的URI字符串會被瀏覽器認(rèn)為是一個(gè)無效的URI。

正確的URI應(yīng)該如下：

http://www.mysite.com/send-to-friend.aspx?url=http%3A%2F%2Fwww.mysite.com%2Fproduct.html

最多使用的應(yīng)為encodeURIComponent，它是將中文、韓文等特殊字符轉(zhuǎn)換成utf-8格式的url編碼，所以如果給后臺傳遞參數(shù)需要使用encodeURIComponent時(shí)需要后臺解碼對utf-8支持（form表單中的編碼方式和當(dāng)前頁面編碼方式相同）

     escape不編碼字符有69個(gè)：*，+，-，.，/，@，_，0-9，a-z，A-Z

     encodeURI不編碼字符有82個(gè)：!，#，$，&，'，(，)，*，+，,，-，.，/，:，;，=，?，@，_，~，0-9，a-z，A-Z

     encodeURIComponent不編碼字符有71個(gè)：!， '，(，)，*，-，.，_，~，0-9，a-z，A-Z

例子：

alert(encodeURIComponent("A&T Plastic")); //A%26T%20Plastic
alert(escape("A&T Plastic"));  //A%26T%20Plastic
alert(encodeURI("A&T Plastic"));  //A&T%20Plastic
alert(escape("A&T Plastic中"));  //A%26T%20Plastic%uFFFD%uFFFD

我們看到 encodeURI 沒有編碼uri的保留字符 & ，'中'被編碼成了 %uFFFD%uFFFD

encodeURIComponent 就編碼了保留字符& 。

url的編碼經(jīng)常會被利用在XSS攻擊中來繞過服務(wù)端的 xss filter, 對有威脅的url進(jìn)行偽裝，讓不明用戶去點(diǎn)擊。

所以如果只是處理 get 提交時(shí)url地址中的亂碼問題，可以使用 encodeURI 來編碼整個(gè)url；

如果參數(shù)中含有保留字符需要進(jìn)行編碼，那么應(yīng)該使用 encodeURIComponent 來編碼部分參數(shù)；

如果使用encodeURIComponent來處理中文亂碼，那么前端需要使用兩次encodeURIComponent(encodeURIComponent('你好'))，Java后端使用：

java.Net.URLDecoder.decode(param,"UTF-8");

來解碼；

參考：

http://www.dbjr.com.cn/article/22880.htm

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

最新評論