是一个冒号安全的友好URL的使用？

我最近写了一个URL编码器，所以这在我脑海中是非常新鲜的。

http://site/gwturl#user:45/comments

片段部分 （ user:45/comments ）中的所有字符对于RFC 3986 URI是完全合法的。

ABNF的相关部分：

 fragment = *( pchar / "/" / "?" ) pchar = unreserved / pct-encoded / sub-delims / ":" / "@" unreserved = ALPHA / DIGIT / "-" / "." / "_" / "~" pct-encoded = "%" HEXDIG HEXDIG sub-delims = "!" / "$" / "&" / "'" / "(" / ")" / "*" / "+" / "," / ";" / "=" 

除了这些限制之外，碎片部分没有超出应用程序给出的限定结构。 该scheme，http只说，你不发送这部分到服务器。

编辑：

D'哦！

尽pipe我对URI规范有所断言，但当他指出 HTML 4规范限制元素名称/标识符时， 不可否认的是提供了正确的答案。

请注意，标识符规则在HTML 5中发生了变化 。 URI限制仍然适用（在撰写本文时，HTML 5使用URI的问题还有一些未解决的问题）。

除了McDowell对URI标准的分析之外，还要记住片段必须是有效的HTML锚点名称。 根据http://www.w3.org/TR/html4/types.html#type-name

ID和NAME标记必须以字母（[A-Za-z]）开始，后面跟随任意数量的字母，数字（[0-9]），连字符（“ – ”），下划线（“_”） ，冒号（“：”）和句点（“。”）。

所以你很幸运 “：”是明确允许的。 没有人应该“％” – 逃避它，不仅因为“％”是非法的字符，而且因为片段很多符合锚点名字，因此没有代理人应该尝试与他们锤炼。

但是你必须testing它。 networking标准没有严格遵循，有时标准是相互冲突的。 例如HTTP / 1.1 RFC 2616不允许请求URL中的查询string，而HTML在使用GET方法提交表单时构造一个。 无论在现实世界中执行哪一个，都会在一天结束时获胜。

MediaWiki和其他维基引擎在其URL中使用冒号来指定名称空间，显然没有大问题。

例如http://en.wikipedia.org/wiki/Template:Welcome

我不会指望它。 它很可能会被许多用户代理的URL编码为%3A 。

来自URLEncoder javadoc：

有关HTML表单编码的更多信息，请参阅HTML 规范 。

编码string时，应用下列规则：

• 字母数字字符“a”到“z”，“A”到“Z”和“0”到“9”保持不变。
• 特殊字符“。”，“ – ”，“*”和“_”保持不变。
• 空格字符“”被转换成加号“+”。
• 所有其他字符都是不安全的，首先使用某种编码scheme将其转换为一个或多个字节。 然后每个字节由3个字符的string“％xy”表示，其中xy是该字节的两位hex表示。 推荐使用的编码scheme是UTF-8。 但是，出于兼容性原因，如果未指定编码，则使用平台的默认编码。

那就是:不安全。

我没有看到Firefox或IE8编码包含字符的一些维基百科URL 。

如果协议要求authentication，则冒号被用作用户名和密码之间的分隔符。

冒号不安全。 看这里

它不是一个安全的字符，用来区分你连接到什么端口，当你的域名后