URLDecoder和URLEncoder专用于application/x-www-form-urlencoded格式的参数值编解码,必须显式指定UTF-8,不可用于完整URL或路径编码;URLEncoder将空格转为+,非ASCII字符转为%XX,URLDecoder自动处理+和%XX并还原原始字符串。
Java 中的 URLDecoder 和 URLEncoder 主要用于处理 URL 中的参数编码与解码
,核心目标是确保特殊字符(如空格、中文、符号)能安全地在 HTTP 请求中传输。注意:它们操作的是 application/x-www-form-urlencoded 格式,不是通用的 URI 编码(如路径部分应使用 java.net.URI 或 java.net.URLEncoder.encode(String, String) 配合 UTF-8),且默认使用平台默认字符集(不推荐),必须显式指定 "UTF-8"。
URLEncoder:将参数值编码为 URL 安全格式
用于对 GET 请求参数值或 POST 表单数据中的字段值进行编码。它会把空格转为 +,非字母数字字符转为 %XX 形式,并严格要求指定字符集(推荐 UTF-8)。
- 只编码参数 值,不要对整个 URL 或参数名/等号/分隔符编码
- 必须调用
URLEncoder.encode(str, "UTF-8"),避免使用已废弃的无参方法 - 编码后结果中空格是
+,不是%20;若需统一为%20,可后续替换:.replace("+", "%20") - 示例:
URLEncoder.encode("你好 world+test", "UTF-8")→%E4%BD%A0%E5%A5%BD+world%2Btest
URLDecoder:将编码后的参数值还原为原始字符串
用于解析 HTTP 请求中接收到的参数值(例如 HttpServletRequest.getParameter() 通常已自动解码,但手动解析查询字符串时需自行调用)。
- 同样必须指定字符集:
URLDecoder.decode(encodedStr, "UTF-8") - 自动识别
+作为空格,也支持%20等各种百分号编码 - 若传入非法编码(如
%GZ),会抛出IllegalArgumentException - 示例:
URLDecoder.decode("%E4%BD%A0%E5%A5%BD+world%2Btest", "UTF-8")→你好 world+test
常见误区与注意事项
这两个工具类容易误用,尤其在前后端协作或自定义请求构造时:
-
不要对整个 URL 调用 URLEncoder:会导致斜杠
/、冒号:等被错误编码,破坏 URL 结构 -
路径部分不用 URLEncoder:URI 路径中的中文或特殊字符应通过
new URI(null, null, path, query, fragment)构造,或手动编码时仅对路径段内容编码(并用%2F代替/) -
GET 参数名也要编码:虽然常被忽略,但参数名含特殊字符时同样需要编码(如
user name→user%20name) -
Spring 等框架已封装处理:如
@RequestParam默认完成解码,一般无需手动调用 URLDecoder
替代方案建议(更现代、更安全)
对于复杂场景(如完整 URI 构建、路径编码、国际化支持),推荐使用标准 API 替代:
- 构建完整 URI:用
java.net.URI构造器,它会自动对各组件做合规编码 - 仅编码路径段:用
URLEncoder.encode(pathSegment, "UTF-8").replace("+", "%20"),再拼入路径 - HTTP 客户端库(如 OkHttp、Apache HttpClient):内置参数编码逻辑,优先使用其表单提交方法
- Web 框架内:信任
HttpServletRequest.getParameter()的结果,它已按请求字符集解码(需确保 request.setCharacterEncoding("UTF-8") 已设置)
基本上就这些。关键记两点:编码只针对参数值、必须强制指定 UTF-8;别碰 URL 结构本身,那是 URI 类的事。
