总是安全的

在理论上和规范上，除了域名之外，这些基本在任何地方都是安全的。对未列出的内容进行百分比编码，就可以开始了。

    A-Z a-z 0-9 - . _ ~ ( ) ' ! * : @ , ;

有时安全

只有在特定URL组件中使用才安全;小心使用。

    Paths:     + & =
    Queries:   ? /
    Fragments: ? / # + & =
    

不安全的

根据URI规范(RFC 3986)，所有其他字符必须用百分比编码。这包括:

    <space> <control-characters> <extended-ascii> <unicode>
    % < > [ ] { } | \ ^
    

如果最大兼容性是一个问题，限制字符集为a-z a-z 0-9 - _。(仅对文件名扩展名使用句点)。

牢记语境

即使根据规范有效，URL仍然可能是“不安全的”，这取决于上下文。例如包含无效文件名字符的file:/// URL，或者不用作分隔符时包含“?”、“=”和“&”的查询组件。这些情况的正确处理通常取决于您的脚本，并且可以解决，但这是需要记住的事情。

引用RFC 3986第2.3节:

URI中允许的但没有保留的字符 目的，都叫无保留。这包括大写和小写 字母、十进制数字、连字符、句号、下划线和波浪号。 字母数字"-" / "。"/ "_" / "~"

注意，RFC 3986比旧的RFC 2396列出了更少的保留标点符号。

unreserved = ALPHA / DIGIT / "-" / "."/ "_" / "~"

URI的格式在RFC 3986中定义。详见3.3节。

我发现当我通过Ajax/PHP返回一个值到一个URL，然后由页面再次读取时，将我的URL编码为一个安全的URL非常有用。

PHP输出与URL编码器的特殊字符&:

// PHP returning the success information of an Ajax request
echo "".str_replace('&', '%26', $_POST['name']) . " category was changed";

// JavaScript sending the value to the URL
window.location.href = 'time.php?return=updated&val=' + msg;

// JavaScript/PHP executing the function printing the value of the URL,
// now with the text normally lost in space because of the reserved & character.

setTimeout("infoApp('updated','<?php echo $_GET['val'];?>');", 360);

从SEO的角度来看，连字符比下划线更受欢迎。转换为小写，删除所有撇号，然后用一个连字符替换所有非字母数字字符字符串。修剪多余的连字符从开始和结束。