1、javascript中,“escape”、“unescape”函数采用ISO Latin字符集对指定字符串进行编码。所有的空格符、标点符号、特殊字符以及其他非ASCII字符都将被转化成%xx格式的字符编码(xx等于该字符在字符集表里面的编码的16进制数字)。比如,空格符对应的编码是%20。unescape方法与此相反。不会被此方法编码的字符: @ * / +
2、javascript中,“encodeURI”、“decodeURI”将指定字符串采用UTF-8编码格式转化成escape格式的字符串(或把escape格式的字符串转化为UTF-8编码)。不会被此方法编码的字符:! @ # $& * ( ) = : / ; ? + '
3、javascript中,“encodeURIComponent”函数把URI字符串采用UTF-8编码格式转化成escape格式的字符串。与encodeURI()相比,这个方法将对更多的字符进行编码,比如 / :?;等字符,不会被此方法编码的字符:! * ( ) 。所以encodeURIComponent可以用于下面这种情况,某URL http://www.baidu.com?url=XXXX,其中XXXX也是一个链接,这时应该用encodeURIComponent对XXXX编码 ,注:encodeURIComponent编码后的URI不可访问
4、php中“urlencode”、“urldecode”、“rawurlencode”、“rawurldecode”函数基本上等效于javascript中encodeURI系列函数,区别只是部分特殊字符是否进行编码的问题
5、php中,“htmlentities”、“htmlspecialchars”等html相关编码函数,主要的目的是将在HTML语言中有特殊用途的字符或不可见字符(空格默认最多只会连续输出一个),如“<”、“>”、“空格”等以html编码进行转换,以便在页面中输出这些字符。
6、对于中文字符串来说,如果不希望把字符串编码格式转化成UTF-8格式的(比如原页面和目标页面的charset是一致的时候),只需要使用escape。如果你的页面是GB2312或者其他的编码,而接受参数的页面是UTF-8编码的,就要采用encodeURI或者encodeURIComponent。
关于XSS攻击
1、将变量输出到javascript中,如“<script>”标签中等需要对变量使用引号包裹并进行javascript级别的编码,如escape
2、将变量输出到HTML中,如“innerHTML”,直接输出等,需要对变量进行HTML编码,如php的htmlentities
3、将变量先输出到javascript中再使用javascript将组合后的变量输出到HTML中,要在输出到javascript时使用javascript编码,并在输出到HTML中时使用HTML编码