URL中,拼接字符串与浏览器转意冲突解决方案

最新推荐文章于 2025-03-15 13:51:07 发布
最新推荐文章于 2025-03-15 13:51:07 发布
阅读量3.8k 收藏
点赞数
分类专栏: HTML & XML JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1104/article/details/40483915
版权
本文探讨了HTML实体转义问题及其在不同浏览器中的表现,特别指出IE9及以下版本的特殊行为,并提供了修复方法及检测工具。讨论了如何避免URL中的HTML实体导致的问题,以及在IE中跳转或弹窗时的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

此问题相关信息(我不放在最前面,似乎有些朋友会找不到的样子.)

IE10+, Safari5.17+, Firefox4.0+,Opera12+, Chrome7+ 已经按新标准实现. 所以就没有这个问题了.
 
参考标准 :  http://www.w3.org/html/ig/zh/wiki/HTML5/tokenization  新标准明确提到,如果实体后面遇到的不是;且下一个是= 那么就不处理的.就是为了解决这个坑爹的问题的.

 

我们来看demo :

<a href="http://www.baidu.com?a=1&reg=2&reg_a=3" >悲剧</a>

 
部分浏览器(对应上面已经按新标准实现的版本之下的,各个浏览器.)
点上面的链接, 会自动把  &reg 转意成® (部分浏览器会自动对转意后的字符进行编码) .  
 
这个bug.的本质,就是当HTML中出现相关HTML实体(HTML character entity)时.就自动转意处理了. 所以理论上, 用脚本,动态创建的资源则没有这个问题,比如 new Image().src = 'http://www.baidu.com?a=1&reg=2'; 甚至动态创建的iframe.亦如此.

IE9- 有两个问题比其他浏览器更严重:
1. 用脚本跳转当前页比如location.href = xxx,或 location.replace(xxx) .又或者是调用window.open(xxx);如果查询字符串中包含这些html实体, 仍然会触发这个问题... 
2. ,参见标准, 你会知道实体+"其他字符"   ,    "其他字符中",哪些与实体连接在一起,是没有这个问题的. 比如 &rega  , &reg1     其中a, 1 与 &reg 连接就不会有这种问题,从标准角度,甚至是  &reg_a 也不应有问题. 但是IE9-又一次打败了我们.  至于其他特殊字符如 # ~ 等.在各个浏览器中表现各异. 考虑我们在设计字段名时,不大可能出现那些字符.我们也不再纠结其他浏览器在此处实现的差异.
 
 
 
所以,理论上,这个问题应该是后端的同学,在输出html时.更加要注意的问题.  而前端同学,要注意的则是跳转或弹窗时的url中是否有相关的字段包含一个无分号即为html实体的情况.
 
至于IE为啥这么特殊...我也没想明白...
 
那么,无论后端同学也好,前端同学也罢,我们可能更改已经定好的字段成本比较高.  所以其实最妥善的办法,应该是这样子: (感谢 @辰光未然 的提醒.) 
var fixURL = function (url) {
    return url.replace(/&/g,'&');
};
//使用fixURL 去替换url中的&.然后再输出给html, 或者跳转链接,又或者弹窗... 当然,前端的同学在js代码中之所以要这样做.主要是受IE的拖累...

那么大概,很多HTML 实体都会出问题:
 
 
这个表里, 没有分号结尾的,都是隐患...  也就是下面这106个: (感谢 @kenny 提供的最新的list 地址. 我花了点时间写了个脚本.把需要处理的,都抓了出来.)
 
 
我们可以用下面这个脚本来帮忙做检测 : 
var checkURL = function () {
    var list = [ //106
            'Á',
            'á',
            'Â',
            'â',
            '´',
            'Æ',
            'æ',
            'À',
            'à',
            '&',
            '&',
            'Å',
            'å',
            'Ã',
            'ã',
            'Ä',
            'ä',
            '¦',
            'Ç',
            'ç',
            '¸',
            '¢',
            '©',
            '&copy',
            '¤',
            '°',
            '÷',
            'É',
            'é',
            'Ê',
            'ê',
            'È',
            'è',
            'Ð',
            'ð',
            'Ë',
            'ë',
            '½',
            '¼',
            '¾',
            '>',
            '>',
            'Í',
            'í',
            'Î',
            'î',
            '¡',
            'Ì',
            'ì',
            '¿',
            'Ï',
            'ï',
            '«',
            '<',
            '<',
            '¯',
            'µ',
            '·',
            ' ',
            '¬',
            'Ñ',
            'ñ',
            'Ó',
            'ó',
            'Ô',
            'ô',
            'Ò',
            'ò',
            'ª',
            'º',
            'Ø',
            'ø',
            'Õ',
            'õ',
            'Ö',
            'ö',
            '¶',
            '±',
            '£',
            '"',
            '"',
            '»',
            '®',
            '&reg',
            '§',
            '­',
            '¹',
            '²',
            '³',
            'ß',
            'Þ',
            'þ',
            '×',
            'Ú',
            'ú',
            'Û',
            'û',
            'Ù',
            'ù',
            '¨',
            'Ü',
            'ü',
            'Ý',
            'ý',
            '¥',
            'ÿ'
        ];
        
    return function (url) {
        var l = list;
        var i = l.length;
        var matchIndex;
        var current;
        var nextchar;
        var errors = [];
        for (; i--;){
            matchIndex = url.indexOf(l[i]);
            current = l[i];
            if(matchIndex > -1){
                if((current === '&' || current === '&') && url.charAt(matchIndex + 4) === ';'){
                    //如果是 & 或 & 我们就认为是故意要输出 & ,比如是一个调用fixURL方法修正过的URL.里面的& 会被我们替换为 amp;
                    //所以,我们要跳过它,去检查后面.
                    continue;
                }
                nextchar = url.charAt(matchIndex + current.length);
                if(!/[a-zA-Z0-9]/.test(nextchar)){
                    //此处我们只要发现任意一个 ,如 &reg后面紧随字符不在 a-z,A-Z,0-9范围内.就算有问题.
                    //这样处理实际和标准的细节以及浏览器实现有细微差异. 但是本着任何浏览器来跑case,都能发现潜在威胁的原则.和实现复杂度的考虑.
                    // 我们姑且粗暴的这样处理了. 似乎还不错.
                     
                    errors.push(current + nextchar);
                }
            }
        }
        if(errors.length){
            throw Error('contains : \n' + errors.join('\n'));
        }
    };
}();

test case 1:  
var url  = '//www.baidu.com?a=1&=2<=3&reg=4';           
document.onclick = function () { //IE9-好了.证明我们的修正是ok的了.
      window.open(fixURL(url))
};

test case 2:  
var url  = '//www.baidu.com?a=1&=2<=3&reg=4';     
  try{
      checkURL(url);
  }catch(e){
      alert(e.message)
  }


2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 14万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
URL 中,查询字符串HTML实体冲突,可能带来的问题.
weixin_30622107的博客
09-28 187
此问题相关信息(我不放在最前面,似乎有些朋友会找不到的样子.) IE10+, Safari5.17+, Firefox4.0+,Opera12+, Chrome7+已经按新标准实现. 所以就没有这个问题了. 参考标准 :http://www.w3.org/html/ig/zh/wiki/HTML5/tokenization 新标准明确提到,如果实体后面遇到的不是;且下一个是= 那么...
JS拼接URL字符串
weixin_30493321的博客
09-20 1468
方法解析 使用encodeURIComponent进行编码,比如中文 考虑到对象是否还包含别的类型,如数组 对象 代码 function encodeSearchParams(obj) { const params = []; Object.keys(obj).forEach((key) => { let value = obj[key]; // 如果值...
URL拼接重复参数问题
2201_75559074的博客
03-15 339
在调用第三方API时,手动拼接URL参数容易因编码或重复拼接引发隐藏Bug。Spring框架提供的 UriComponentsBuilder。可自动处理编码和参数拼接,避免低级错误。掌握以上方法,从此告别URL拼接低级错误!),服务端解析异常!
url转义字符原理
韩保红的代码库博客——记录我的学习历程
09-15 243
如果表单的action为list.jsf?act=go&amp;state=5 则提交时通过request.getParameter可以分别取得act和state的值。 如果你的本意是act='go&amp;state=5'这个字符串,那么为了在服务端拿到act的准确值,你必须对&amp;进行转 义 [预备知识]           对通过get方式提交的url浏览器在提交前首先根据h...
URL编码
qq_46277212的博客
06-21 2010
URL 编码 %20 为空格 %23 为# (注释符) %27 为单引号 –+ 注释后面的语句
Web开发必修课:Java字符串URL处理会话管理中的应用
[Web开发必修课:Java字符串URL处理会话管理中的应用](http://www.phpxs.com/uploads/202303/22/ac933fef2f0418bf5bdef3da306c9431.jpeg) # 1. Java字符串URL处理中的应用基础 在当今的网络应用开发中,正确...
JavaScript引擎内部探秘:揭秘Uncaught SyntaxError成因解决方案
[JavaScript引擎内部探秘:揭秘Uncaught SyntaxError成因解决方案](https://opengraph.githubassets.com/f4267764464ae162bb6ff39bc69d2bbaeabf9b2ec89306f1fc8365ebbdee5c70/lydell/js-tokens) 参考资源链接:...
【文件上传用户认证融合】:如何实现安全的集成上传解决方案
[【文件上传用户认证融合】:如何实现安全的集成上传解决方案?](https://itshelp.aurora.edu/hc/article_attachments/1500012723422/mceclip1.png) # 1. 文件上传用户认证的基础概念 在数字化时代,文件上传...
【ASP.NET常见错误解决方案】:一步步排查修复,再也不怕bug了!
[【ASP.NET常见错误解决方案】:一步步排查修复,再也不怕bug了!](https://res.cloudinary.com/dlgglwrvf/image/upload/v1670765639/anti_forgery_exception_c0121bb2a1.png) # 摘要 本文详细介绍了ASP.NET应用...
小白笔记4:记录一个奇怪的BUG——URL编码%27
Echo的博客
11-12 3540
今天在写代码时,遇到了一个奇怪的Bug。 当我点击图片跳转第4、5次时,页面显示找不到,错误代码404 再看URL栏 发现居然多了个%27??我知道这里很明显就是路径出了问题,但是始终找不到bug。经过百度后了解,Js会将URL中的‘解码为”%27“,在这里语句 <a class="productItemDescLink" href="'product?pid='+p.id"> 被解析成了product?pid%27+p.id,难怪找不到路径 解决办法:在群里大佬的指点下,发现在Vue中的a
URL编码表!
fengpeng120的专栏
06-25 4429
backspace %08 tab %09 linefeed %0A creturn %0D space %20 ! %21 " %22 # %23 $ %24 % %25 &amp; %26 ' %27 ( %28 ) %29 * %2A + %2B , %2C - %2D . %2E / %2F 0 %30 1 %31 2 %32 3 %33 4...
URL%数字表示符号对照
qq_32898021的博客
04-14 3万+
HTML Encoding Reference URL-encoding : ASCII Character %20 : space %21 : ! %22 : “ %23 : # %24 : $ %25 : % %26 : & %27 : ‘ %28 : ( %29 : ) %2A : * %2B : + %2C : , %2D : – %2E : . %2F : / %30 : 0 %...
字符串拼接浏览器效率区别)
hahahhahahahha123456的博客
08-20 357
JS代码的执行效率往往直接影响了页面的性能,有的时候,实现同样的功能,不同的JS代码往往在效率上相差很多,有的时候仅仅是由于我们的书写习惯导致的,当然在高级点的浏览器中,它们大多都已经帮我们优化了,但是在中国,万恶的IE6仍然大量的存在,我们不得不去考虑它。对于JS代码的优化,实际上有很多的情况,有些影响是比较小的,而有些是比较严重的,本文中,我把几个我认为影响比较严重的情况列出来,供大家参考。 ...
Eureka[一]:server端启动源码分析
qianyu012的博客
07-27 283
一:server端启动 (1)pom引入依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-eureka-server</artifactId> </dependency> (2)在启动类上加@EnableEurekaServer注解。 (3)配置文件加上: ...
js拼接URL字符串
热门推荐
本杰明的博客
07-10 4万+
实际开发中,经常会遇到http请求(特别是get请求)或者跳转页面需要拼接URL请求字符串,而经常性的思维就是利用“+”进行字符串拼接:var baseUrl = 'www.google.com' var a = 1, b = 'request', c = true var finalUrl = baseUrl + '?a=' + a + '&b=' + b + '&c=' + c这种方法看起来丑陋
URL%25E6%2588这样%25开头的字符是什么编码
xiayu98020214的专栏
08-24 1万+
http://www.cnblogs.com/jx270/p/4829589.html https://jingyan.baidu.com/article/6b182309ba6eaeba58e159cb.html
url编码对照表
weixin_30832351的博客
09-19 3355
附上ASCII字符URL编码的对照表。 ASCII字符 URL编码 空格 %20 ! %21 " %22 # %23 $ %24 % %25 & %26 ' %27 ( %28 ) %29 * %2A + %2B , %2C - %2D . ...
url传参
最新发布
03-26
<think>嗯,用户问的是如何通过URL传递参数以及常见问题和解决方案。首先,我得回顾一下URL传参的基本方法。记得URL参数通常是附加在路径后面,用问号分隔,键值对用等号连接,多个参数用&符号分开,比如?name=John&age=30。这部分应该没问题,但可能需要举例说明。 然后,用户可能遇到哪些问题呢?比如中文乱码,因为URL默认编码可能不支持中文,需要用到encodeURIComponent或者decodeURIComponent来处理。比如引用[1]提到用URLSearchParams获取参数,这可以解决部分问题,但可能需要更详细的步骤。还有日期参数的传递,引用[3]提到Java中传递日期的问题,可能需要建议将日期转为ISO字符串或者时间戳,避免格式问题。 另一个常见问题是参数丢失或截断,特别是特殊字符如&或#,这时候必须正确编码,避免被解析错误。比如在PHP中用urlencode,JS中用encodeURIComponent。引用[5]提到的uni-app路由传参参数丢失,可能涉及框架自身的问题,需要建议使用框架提供的API或全局事件通信。 还有跨平台或框架的问题,比如Vue或React中的路由传参,可能需要使用特定的方法如params或query,而不是直接拼接URL。比如引用[4]中的layui传参,用全局变量可能不够可靠,建议使用框架推荐的方式。 此外,不同后端处理方式不同,比如Spring MVC中@RequestMapping默认支持多种方法,但URL参数只支持GET,需要明确指定方法,如引用[2]提到的。可能还要提到POST等其他方法不适合URL传参。 安全问题也是要考虑的,比如敏感信息不应在URL中传递,容易被日志或浏览器历史记录截获。建议使用POST或加密,但用户的问题可能更关注技术实现,这部分可以简要提及。 总结下来,需要分步骤讲解传参方法,然后列出常见问题,每个问题对应解决方案,并引用相关的参考资料。需要确保语言口语化,避免技术术语堆砌,让用户容易理解。同时,注意用户提供的引用材料,正确关联到问题中,比如中文乱码对应引用[1],日期问题对应引用[3],框架问题对应引用[4]和[5],方法限制对应引用[2]。 最后,生成相关问题时要围绕URL传参的扩展,比如性能分析、优化方法、应用场景等,但根据用户提供的示例,可能包括编码必要性、特殊字符处理、不同框架传参方式、参数大小限制和安全性等。需要确保问题具有针对性,帮助用户深入理解。</think>### 如何通过URL传递参数及常见问题解决方案 #### 一、URL传参的基本方法 1. **基础语法** URL参数通过`?`附加在路径后,格式为`键=值`,多个参数用`&`分隔。例如: `https://example.com?name=John&age=30` 2. **动态生成参数** 在JavaScript中,可以使用`URLSearchParams`对象或`encodeURIComponent`函数编码参数,避免特殊字符冲突[^1]。 ```javascript let params = new URLSearchParams({ name: "张三", date: "2023-10-01" }); let url = `https://example.com?${params.toString()}`; ``` 3. **后端接收参数** 不同框架解析方式不同: - **Java Spring**:通过`@RequestParam`注解获取参数[^3]。 - **Node.js**:使用`querystring`模块解析URL参数。 --- #### 二、常见问题及解决方案 1. **中文乱码** **问题**:中文字符未编码导致乱码。 **解决**:使用`encodeURIComponent`编码,后端对应解码[^1]。 ```javascript let name = encodeURIComponent("张三"); // 编码 let decodedName = decodeURIComponent(urlParams.get("name")); // 解码 ``` 2. **日期参数传递** **问题**:日期格式解析错误或丢失。 **解决**:传递ISO标准格式(如`2023-10-01T12:00:00Z`)或时间戳。 ```java // Java示例:接收日期参数 @GetMapping("/event") public ResponseEntity<?> getEvent(@RequestParam("date") @DateTimeFormat(iso = ISO.DATE) LocalDate date) { // 业务逻辑 } ``` 3. **参数丢失或截断** **问题**:参数中包含`&`、`#`等特殊字符导致截断。 **解决**:严格编码所有参数,避免保留字符冲突。 ```javascript let param = encodeURIComponent("key=value&test=1"); // 输出 key%3Dvalue%26test%3D1 ``` 4. **跨平台/框架参数传递** **问题**:某些框架(如uni-app、layui)因路由机制导致参数丢失。 **解决**: - **uni-app**:使用`uni.$emit`和`uni.$on`全局事件通信[^5]。 - **layui**:通过父页面全局变量或`localStorage`传递参数[^4]。 5. **GET方法限制** **问题**:URL参数仅支持GET请求,且长度受限(通常不超过2048字符)。 **解决**: - 敏感数据改用POST请求。 - 超长参数拆分为多个请求或使用`POST + Body`[^2]。 --- #### 三、安全建议 1. **敏感信息避免URL传参** URL参数可能被浏览器历史记录或服务器日志截获,需加密或使用HTTPS。 2. **参数校验** 后端需对参数类型、范围做严格校验,防止SQL注入或非法访问。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值