空格URL编码的正确使用姿势

1、简介

       空格目前有两种不同的编码方式，一种是在HTML4中定义的，而另一种是在RFC-3986中定义的。本文将简要介绍这两种编码方式，以及会给我们的开发工作带来什么样的问题，最后给出一些编码建议。

1.1 HTML4编码方式

        HTML4的application/x-www-form-urlencoded一节对空格的编码定义如下：

1. Control names and values are escaped. Space characters are replaced by `+', and then reserved characters are escaped as described in [RFC1738], section 2.2: Non-alphanumeric characters are replaced by `%HH', a percent sign and two hexadecimal digits representing the ASCII code of the character. Line breaks are represented as "CR LF" pairs (i.e., `%0D%0A').

2. The control names/values are listed in the order they appear in the document. The name is separated from the value by `=' and name/value pairs are separated from each other by `&'.

    按照HTML4规范，空格应该被编码成加号"+"，而如果字符本身就是加号"+"，则应该被编码成%2B。

 1.2 RFC-3986编码方式

     RFC-3986中采用统一的编码方式，字符的编码格式为：%HH(H为十六进制字符)， 并没有对空格做特殊处理。按照RFC-3986规范，空格被编码成%20，而加号"+"被编码成%2B。

1.3 导致的问题

    从上面可以看出，空格在两种规范下有不同的编码方式，也因此导致我们在开发时会遇到意想不到的错误。例如用户明明提交的是"你 好"，写入数据库之后却变成了"你+好"，往往这种错误让人摸不着头脑，其实这就是由于空格的编码错误导致的。

2. 编码建议

    其实避免上面错误的方法很简单，就是在开发中我们要统一客户端和服务端的编码方式，而不能两者混用。建议客户端和服务端同时使用RFC-3986编码方式，将请求参数全部编码成%HH格式。当然为了保证正确的编码解码，统一的字符集也不可缺少，最好都使用UTF-8。

3. 编码示例

    如果客户端提交的查询字符串是"开源+中国 博客", 则HTML4采用UTF-8编码后结果为：

%E5%BC%80%E6%BA%90%2B%E4%B8%AD%E5%9B%BD+%E5%8D%9A%E5%AE%A2

    注意，加号被直接编码成%2B，而空格则被编码成了加号"+"。

  而RFC-3986采用UTF-8编码后结果为：

%E5%BC%80%E6%BA%90%2B%E4%B8%AD%E5%9B%BD%20%E5%8D%9A%E5%AE%A2

    加号被直接编码成%2B，空格也被直接编码成%20。

4. Java中的URL编码

    Java中常用的URL编码类有两个：一个是JDK自带的java.net.URLEncoder,另一个是Apache的org.apache.commons.codec.net.URLCodec。这两个类遵循的都是HTML4标准，即将空格编码成加号"+",代码如下：

//输出：%E4%BD%A0+%E5%A5%BD
System.out.println(java.net.URLEncoder.encode("你 好", "utf-8"));
URLCodec en = new URLCodec("utf-8");
//输出：%E4%BD%A0+%E5%A5%BD
System.out.println(en.encode("你 好"));

   其实要将HTML4的编码结果转换成RFC-3986编码，方法很简单：

java.net.URLEncoder.encode("你 好", "utf-8").replaceAll("\\+", "%20");

   另外Netty中有一个QueryStringEncoder类可以可以实现RFC-3986的URL编码，代码如下：

QueryStringEncoder encoder = new QueryStringEncoder("/");
encoder.addParam("name", "开源+中国 博客");
//输出：/?name=%E5%BC%80%E6%BA%90%2B%E4%B8%AD%E5%9B%BD%20%E5%8D%9A%E5%AE%A2
System.out.println(encoder.toUri());

5. 参考

URI Escaping and java.net.URLEncoder