Server.UrlEncode против HttpUtility.UrlEncode

177

Есть ли разница между Server.UrlEncode и HttpUtility.UrlEncode?

asp.net .net urlencode

— Manu
источник

133

HttpServerUtility.UrlEncodeбудет использовать HttpUtility.UrlEncodeвнутри. Особой разницы нет. Причиной существования Server.UrlEncodeявляется совместимость с классическим ASP.

— Мехрдад Афшари
источник

3

Что касается того, что сбежит. Внутренне он вызывает эту функцию Referenceource.microsoft.com/#System/net/System/Net/…

— Джефф

Для читателей: Пожалуйста, посмотрите ответ Джоэля Мюллера ниже. Это наиболее эффективный способ кодирования URL: stackoverflow.com/a/603962/190476

— Судханшу Мишра,

264

Раньше у меня были серьезные головные боли с этими методами, я рекомендую вам избегать любого варианта UrlEncode, и вместо этого использоватьUri.EscapeDataString - по крайней мере, тот, который имеет понятное поведение.

Посмотрим...

HttpUtility.UrlEncode(" ") == "+" //breaks ASP.NET when used in paths, non-
                                  //standard, undocumented.
Uri.EscapeUriString("a?b=e") == "a?b=e" // makes sense, but rarely what you
                                        // want, since you still need to
                                        // escape special characters yourself

Но мой личный фаворит должен быть HttpUtility.UrlPathEncode - эта вещь действительно непостижима. Он кодирует:

"" ==> "% 20"
"100% true" ==> "100 %% 20true" (хорошо, ваш URL сейчас не работает)
"test A.aspx # anchor B" ==> "test% 20A.aspx # anchor% 20B "
"test A.aspx? hmm # anchor B" ==> "test% 20A.aspx? hmm #anchor B " ( обратите внимание на разницу с предыдущей escape-последовательностью! )

Он также имеет прекрасную документацию MSDN «Кодирует часть пути строки URL для надежной передачи HTTP с веб-сервера клиенту». - фактически не объясняя, что он делает. Вы с меньшей вероятностью выстрелите себе в ногу из узи ...

Короче говоря, придерживайтесь Uri.EscapeDataString .

— Имон Нербонн
источник

4

И, к сожалению, это не работает при выполнении HTTP-запросов к некоторым веб-серверам - Uri.EscapeDataString () не кодирует «!» или «», что отличается от того, как работает большинство браузерных реализаций escape () ...

— Крис Р. Доннелли,

6

! и символы не должны быть закодированы; но если этого требует неисправный веб-сервер, это легко обойти. Избегайте функции побега javascript - она по своей сути глючная (например, туда и обратно невозможно). См. Xkr.us/articles/javascript/encode-compare - но вкратце; вместо этого вы можете использовать encodeUriComponent (), который работает аналогично EscapeDataString - он предсказуемо и обратимо кодирует строку, а также не кодирует! и 'персонажи.

— Имон Нербонн

2

Это старый, но вопрос был перенесен на первую страницу, так что .... Часть пути строки URL - это часть между доменом и? или # в URL.

— Powerlord

2

@Tim: их может быть несколько, ?и кто скажет, какие из них должны быть закодированы, а какие служат разделителями? Что касается пространства: в обоих случаях пространство находится в хэше, поэтому наличие или отсутствие фрагмента запроса не должно иметь значения. И, наконец, непростительно испортить Uri, как во втором примере, содержащем%. Этот UrlPathEncodeметод прост и не должен использоваться.

— Имон Нербонн

1

Я думаю, что мой ответ на stackoverflow.com/a/13993486/237091 может пролить немного света на предполагаемое использование UrlEncode / UrlPathEncode.

— Скотт Стаффорд,

60

Перенесемся вперед почти 9 лет с тех пор, как это было впервые задано, и в мире .NET Core и .NET Standard наиболее распространенными вариантами кодирования URL, по- видимому, являются WebUtility.UrlEncode (under System.Net) и Uri.EscapeDataString . Судя по наиболее популярному ответу здесь и в других местах, Uri.EscapeDataString представляется предпочтительным. Но так ли это? Я сделал некоторый анализ, чтобы понять различия, и вот что я придумал:

WebUtility.UrlEncodeкодирует пространство как +; Uri.EscapeDataStringкодирует это как %20.
Uri.EscapeDataStringпроценты кодируют !, (, ), и *; WebUtility.UrlEncodeне.
WebUtility.UrlEncodeпроцентное кодирование ~; Uri.EscapeDataStringне.
Uri.EscapeDataStringвыбрасывает UriFormatExceptionстроки длиной более 65 520 символов; WebUtility.UrlEncodeне. ( Более распространенная проблема, чем вы могли подумать, особенно когда речь идет о данных формы в кодировке URL .)
Uri.EscapeDataStringбросает UriFormatExceptionна высокие суррогатные персонажи ; WebUtility.UrlEncodeне. (Это UTF-16, вероятно, гораздо реже.)

В целях кодирования URL символы попадают в одну из 3 категорий: безрезультатно (допустимо в URL); зарезервировано (законно, но имеет особое значение, так что вы можете закодировать его); и все остальное (всегда должно быть закодировано).

По данным РФЦ , зарезервированные символы::/?#[]@!$&'()*+,;=

И незарезервированные символы являются буквенно-цифровыми и -._~

Вердикт

Uri.EscapeDataString четко определяет свою миссию:% -кодировать все зарезервированные и недопустимые символы. WebUtility.UrlEncode более неоднозначен как в определении, так и в реализации. Как ни странно, он кодирует некоторые зарезервированные символы, но не другие (почему скобки, а не скобки ??), и, что еще более странно, он кодирует этот невинно незарезервированный ~символ.

Поэтому я согласен с популярным советом - используйте Uri.EscapeDataString, когда это возможно, и понимаю, что зарезервированные символы любят /и ?будут закодированы. Если вам нужно иметь дело с потенциально большими строками, особенно с содержимым формы в кодировке URL, вам нужно либо воспользоваться WebUtility.UrlEncode и принять его причуды, либо иным образом обойти проблему.

EDIT: Я пытался исправить все из причуд , упомянутых выше в Flurl через Url.Encode, Url.EncodeIllegalCharactersи Url.Decodeстатические методы. Они находятся в основном пакете (который крошечный и не включает в себя все HTTP), или можете свободно копировать их из исходного кода. Я приветствую любые ваши комментарии / отзывы.

Вот код, который я использовал, чтобы узнать, какие символы кодируются по-разному:

var diffs =
    from i in Enumerable.Range(0, char.MaxValue + 1)
    let c = (char)i
    where !char.IsHighSurrogate(c)
    let diff = new {
        Original = c,
        UrlEncode = WebUtility.UrlEncode(c.ToString()),
        EscapeDataString = Uri.EscapeDataString(c.ToString()),
    }
    where diff.UrlEncode != diff.EscapeDataString
    select diff;

foreach (var diff in diffs)
    Console.WriteLine($"{diff.Original}\t{diff.UrlEncode}\t{diff.EscapeDataString}");

— Тодд менье
источник

2

Это великолепно!

— Хорхе Агирре

1

Отличная работа по проверке предлагаемого решения на современной .net Framework.

— Neowizard

Следует отметить, что между WebUtility и HttpUtility существуют некоторые различия . WebUtility использует прописные буквы, а HttpUtility использует строчные для шестнадцатеричных сущностей. Кроме того, HttpUtility не была включена в старые версии подмножества .NET Framework «Профиль клиента». Веб-утилита доступна из .NET Framework 4.0.

— tibx

28

Имейте в виду, что вам, вероятно, не следует использовать ни один из этих методов. От Microsoft Anti-Cross Site Scripting Library включает в себя замену для HttpUtility.UrlEncodeи HttpUtility.HtmlEncodeчто оба являются более соответствующими стандартами, и более безопасным. В качестве бонуса вы также получаете JavaScriptEncodeметод.

— Джоэл Мюллер
источник

После прочтения документации и FAQ по предоставленной ссылке, я считаю, что этот ответ - лучший и самый безопасный способ кодирования данных! Спасибо огромное за то, что поделились этим!

— Судханшу Мишра

Ссылка больше не работает. Какие методы замены?

— Эдвард Брей

@EdwardBrey Это последняя версия библиотеки сценариев сайта Anti-Cross: microsoft.com/en-au/download/details.aspx?id=28589

— Судханшу Мишра,

11

Server.UrlEncode () предназначен для обеспечения обратной совместимости с классическим ASP,

Server.UrlEncode(str);

Эквивалентно:

HttpUtility.UrlEncode(str, Response.ContentEncoding);

— CMS
источник

5

То же самое, Server.UrlEncode()звонкиHttpUtility.UrlEncode()

— andleer
источник