我认为在2022年，为了真正安全，您应该始终考虑使用URL（）接口构建URL。它将为您完成大部分工作。所以，说到你的代码，

常量baseURL='http://example.com/index.html';const myUrl=新URL（baseURL）；myUrl.searchParams.append（“参数”，“1”）；myUrl.searchParams.append（“otherParam”，“2”）；const myOtherUrl=新URL（baseURL）；myOtherUrl.searchParams.append（'url'，myUrl.href）；console.log（myUrl.href）；//输出：http://example.com/index.html?param=1&anotherParam=2console.log（myOtherUrl.href）；//输出：http://example.com/index.html?url=http%3A%2F%2Fexample.com%2Findex.html%3Fparam%3D1%26anotherParam%3D2console.log（myOtherUrl.searchParams.get（'url'））；//输出：http://example.com/index.html?param=1&anotherParam=2

或

const params = new URLSearchParams(myOtherUrl.search);

console.log(params.get('url'));
// Outputs: http://example.com/index.html?param=1&anotherParam=2

像这样的东西肯定不会失败。

不应直接使用encodeURIComponent（）。

看看RFC3986：统一资源标识符（URI）：通用语法

sub-delims=“！”/“$”/“&”/“'”/“（”/“）”/ "*" / "+" / "," / ";" / "="保留字符的目的是提供一组可与URI中的其他数据区分的分隔字符。

这些来自RFC3986中URI定义的保留字符不会被encodeURIComponent（）转义。

MDN Web文档：encodeURIComponent（）

为了更严格地遵守RFC 3986（保留！、'、（、）和*），即使这些字符没有正式的URI分隔用途，也可以安全地使用以下字符：

使用MDN Web Docs功能。。。

function fixedEncodeURIComponent(str) {
  return encodeURIComponent(str).replace(/[!'()*]/g, function(c) {
    return '%' + c.charCodeAt(0).toString(16);
  });
}

为了防止双重编码，最好在编码之前解码URL（例如，如果您处理的是用户输入的URL，可能已经编码）。

假设我们有abc%20xyz 123作为输入（一个空格已编码）：

encodeURI("abc%20xyz 123")            //   Wrong: "abc%2520xyz%20123"
encodeURI(decodeURI("abc%20xyz 123")) // Correct: "abc%20xyz%20123"

坚持使用encodeURIComponent（）。函数encodeURI（）不需要对URL中具有语义重要性的许多字符进行编码（例如“#”、“？”和“&”）。escape（）已被弃用，并且不必对“+”字符进行编码，因为这些字符将在服务器上被解释为已编码的空格（正如其他人在这里指出的，不正确地对非ASCII字符进行URL编码）。

其他地方对encodeURI（）和encodeURIComponent（）之间的区别有很好的解释。如果您希望对某个内容进行编码，以便它可以安全地作为URI的一个组件（例如作为查询字符串参数）包含，则需要使用encodeURIComponent（）。

表演

今天（2020.06.12），我在浏览器Chrome 83.0、Safari 13.1和Firefox 77.0的macOS v10.13.6（High Sierra）上对所选解决方案进行了速度测试。这一结果对于大规模URL编码非常有用。

结论

encodeURI（B）似乎最快，但不建议用于URLescape（A）是一种快速的跨浏览器解决方案MDN推荐的解决方案F为中速解决方案D最慢

细节

对于解决方案A.BCDEF我进行了两次测试

对于短URL-50个字符-您可以在这里运行对于长URL-1M个字符-您可以在此处运行

函数A（url）{返回转义符（url）；}函数B（url）{返回encodeURI（url）；}函数C（url）{返回encodeURIComponent（url）；}函数D（url）{返回新的URLSearchParams（｛url｝）.toString（）；}函数E（url）{return encodeURIComponent（url）.replace（/[！'（）]/g，escape）.replace（/\*/g，“%2A”）；}函数F（url）{return encodeURIComponent（url）.replace（/[！'（）*]/g，函数（c）{return“%”+c.charCodeAt（0）.toString（16）；});}// ----------//测试// ----------var myUrl=“http://example.com/index.html?param=1&anotherParam=2";[A、B、C、D、E、F].forEach（f=>console.log（`$｛f.name｝？url=$｛f（myUrl）.replace（/^url=/，''）｝`））；此代码段仅显示所选解决方案的代码

Chrome的示例结果

最好的答案是对查询字符串中的值使用encodeURIComponent（而不是其他）。

然而，我发现许多API都想用“+”替换“”，所以我不得不使用以下方法：

const value = encodeURIComponent(value).replace('%20','+');
const url = 'http://example.com?lang=en&key=' + value

escape在不同浏览器中的实现方式不同，encodeURI不编码许多字符（如#和甚至/）——它可以在完整的URI/URL上使用，而不会破坏它——这并不是非常有用或安全的。

正如@Jochem在下面指出的，您可能希望在（每个）文件夹名称上使用encodeURIComponent（），但无论出于什么原因，这些API似乎不希望在文件夹名称中使用+，所以普通的encodeURIComponents非常有用。

例子：

const escapedValue = encodeURIComponent(value).replace('%20','+');
const escapedFolder = encodeURIComponent('My Folder'); // no replace
const url = `http://example.com/${escapedFolder}/?myKey=${escapedValue}`;