ฉันเข้ารหัสแอมป์แซนด์ใน <a href…>หรือไม่

ฉันกำลังเขียนโค้ดที่สร้าง HTML ขึ้นมาโดยอัตโนมัติและฉันต้องการให้เข้ารหัสอย่างถูกต้อง

ว่าฉันกำลังสร้างลิงค์ไปยัง URL ต่อไปนี้:

http://www.google.com/search?rls=en&q=stack+overflow

ฉันสมมติว่าค่าแอตทริบิวต์ทั้งหมดควรเป็นแบบ HTML (โปรดแก้ไขให้ฉันถ้าฉันผิด) ดังนั้นนั่นหมายความว่าถ้าฉันใส่ URL ด้านบนลงในแท็กจุดยึดฉันควรเข้ารหัสเครื่องหมายและเป็น&ดังนี้:

<a href="http://www.google.com/search?rls=en&amp;q=stack+overflow">

ถูกต้องหรือไม่

ใช่แล้ว. เอนทิตี HTML ถูกแยกวิเคราะห์ภายในแอตทริบิวต์ HTML และจรจัด&จะสร้างความกำกวม นั่นเป็นเหตุผลที่คุณควรเขียน&แทนเพียง&ภายในทั้งหมดแอตทริบิวต์ HTML

ที่กล่าวเท่านั้น&และราคาจะต้องมีการเข้ารหัส หากคุณมีอักขระพิเศษเช่นเดียวกับéในแอตทริบิวต์ของคุณคุณไม่จำเป็นต้องเข้ารหัสเพื่อตอบสนองตัวแยกวิเคราะห์ HTML

จะใช้เป็นกรณีที่ URL ที่จำเป็นในการรักษาพิเศษกับตัวละครที่ไม่ใช่ ASCII éเช่น คุณมีการเข้ารหัสที่ใช้ร้อยละหนีและในกรณีนี้ก็จะให้%C3%A9เพราะพวกเขาถูกกำหนดโดยRFC 1738 อย่างไรก็ตาม RFC 1738 ได้รับการแทนที่โดยRFC 3986 (URIs, Uniform Resource Identifier) ​​และRFC 3987 (IRIs, Internationalized Resource Identifiers) ซึ่งWhatWG ใช้งานเพื่อกำหนดว่าเบราว์เซอร์ควรทำงานอย่างไรเมื่อพวกเขาเห็น URL ที่ไม่ใช่ ASCII ตัวละครในมันตั้งแต่ HTML5 ดังนั้นจึงปลอดภัยที่จะรวมอักขระที่ไม่ใช่ ASCII ใน URL เข้ารหัสเปอร์เซ็นต์หรือไม่

ตามคำแนะนำ HTML อย่างเป็นทางการในปัจจุบันต้องใช้เครื่องหมายแอมเปอร์แซนด์เช่น&ในบริบทเช่นนี้ อย่างไรก็ตามเบราว์เซอร์ไม่จำเป็นต้องใช้และ HTML5 CR เสนอให้สร้างกฎนี้เพื่อให้ใช้กฎพิเศษในค่าแอตทริบิวต์ เครื่องมือตรวจสอบ HTML5 ปัจจุบันล้าสมัยในแง่นี้ (ดูรายงานข้อผิดพลาดพร้อมความคิดเห็น)

มันจะยังคงเป็นไปได้ที่จะหลีกเลี่ยงเครื่องหมายแอมเปอร์แซนด์ในค่าคุณลักษณะ แต่นอกเหนือจากการตรวจสอบด้วยเครื่องมือปัจจุบันแล้วคุณไม่จำเป็นต้องใช้ Escape ในhrefค่า (และมีความเสี่ยงเล็กน้อยที่จะทำผิดพลาดหากคุณเริ่มหลบหนี)

ฉันกำลังโพสต์คำตอบใหม่เพราะฉันพบว่าคำตอบของ zneak ไม่มีตัวอย่างเพียงพอไม่แสดงการจัดการ HTML และ URI เป็นแง่มุมและมาตรฐานที่แตกต่างกันและมีบางสิ่งที่ขาดหายไปเล็กน้อย

คุณมีสองมาตรฐานเกี่ยวกับ URL ในลิงค์ (<a href )

มาตรฐานแรกคือRFC 1866 (HTML 2.0) ที่อยู่ใน "3.2.1. Data Characters" คุณสามารถอ่านอักขระที่จำเป็นต้องหลีกเลี่ยงเมื่อใช้เป็นค่าสำหรับแอตทริบิวต์ HTML (แอตทริบิวต์เองไม่อนุญาตให้ใช้อักขระพิเศษเลยเช่น<a hr&ef="http://...ไม่อนุญาตหรือ<a hr&amp;ef="http://...ไม่ใช่)

หลังจากนี้ได้เข้าสู่มาตรฐานHTML 4ตัวละครที่คุณต้องหลบหนีคือ:

<   to   &lt;
>   to   &gt;
&   to   &amp;
"   to   &quote;
'   to   &apos;

มาตรฐานอื่นคือRFC 3986 "มาตรฐาน URI ทั่วไป" ซึ่งจัดการ URL (สิ่งนี้เกิดขึ้นเมื่อเบราว์เซอร์กำลังจะติดตามลิงก์เนื่องจากผู้ใช้คลิกที่องค์ประกอบ HTML)

reserved    = gen-delims / sub-delims

gen-delims  = ":" / "/" / "?" / "#" / "[" / "]" / "@"

sub-delims  = "!" / "$" / "&" / "'" / "(" / ")" / "*" / "+" / "," / ";" / "="

มันเป็นสิ่งสำคัญที่จะหลีกเลี่ยงตัวละครเหล่านั้นเพื่อให้ลูกค้ารู้ว่าพวกเขาเป็นตัวแทนของข้อมูลหรือตัวคั่น

ตัวอย่างที่ไม่ใช้ Escape:

https://example.com/?user=test&password&te&st&goto=https://google.com

ตัวอย่าง URL ที่สมบูรณ์

https://example.com/?user=test&password&te%26st&goto=https%3A%2F%2Fgoogle.com

ตัวอย่าง URL ที่ถูกต้องสมบูรณ์ในค่าของแอตทริบิวต์ HTML:

https://example.com/?user=test&password&te%26st&goto=https%3A%2F%2Fgoogle.com

สถานการณ์ที่สำคัญเช่นกัน:

• Javascript เป็นค่า:

  <img src="..." onclick="window.location.href = &quot;https://example.com/?user=test&amp;password&amp;te%26st&amp;goto=https%3A%2F%2Fgoogle.com&quot;;">...</a>(ใช่;;ถูกต้อง)

• JSON เป็นค่า:

  <a href="..." data-analytics="{&quot;event&quot;: &quot;click&quot;}">...</a>

• สิ่งที่หลบหนีภายในสิ่งที่หลบหนีการเข้ารหัสสองครั้ง URL ภายใน URL ภายในพารามิเตอร์ ฯลฯ ...

  http://x.com/?passwordUrl=http%3A%2F%2Fy.com%2F%3Fuser%3Dtest&password=""123

ใช่คุณควรแปลงไป&&

เครื่องมือตรวจสอบ html นี้โดย W3Cมีประโยชน์สำหรับคำถามเช่นนี้ มันจะบอกคุณข้อผิดพลาดและคำเตือนสำหรับหน้าเฉพาะ