go 的 `url.url` 结构在设置 `rawquery` 时会对 url 路径和查询参数中的 `%` 符号进行双重转义,导致出现 `%2525` 等异常编码;根本原因是将已转义的字符串误作原始输入,触发了重复百分号编码。
在 Go 中,url.URL 类型对 URL 各字段(如 Path、RawQuery)的处理遵循 RFC 3986 规范:所有非 ASCII 或保留字符(包括 % 本身)在序列化为字符串时必须被百分号编码(percent-encoding)。而 % 是转义起始符,其自身编码为 %25 —— 这是唯一合法表示字面量 % 的方式。
你遇到的问题源于输入数据中已包含 % 的转义形式(如 test%?... 实际应为 test%25?...),但代码却将其直接赋值给 u.Path 和 u.RawQuery,导致 Go 在调用 u.String() 时再次对其中的 % 进行转义:
- 原始路径片段:"test%?bucket_uuid=..."
- Go 将 u.Path = "test%" → 内部视为“原始路径含字面量 %”,于是自动编码为 "test%25"
- 同时 u.RawQuery = "bucket_uuid=..." 正常解析
- 最终拼接为 http://.../test%25?bucket_uuid=...
-
但如果原始字符串里本就存在 %25(即已转义的 %),而你又未做预处理,它就会变成 %2525:
- %25 中的 % 被再次识别为转义符 → 编码为 %25
- 后续 25 作为普通字符保留 → 结果为 %2525
✅ 正确做法是:确保传入 u.Path 和 u.RawQuery 的字符串是未经转义的“原始语义值”,而非已编码的 URL 片段。若输入来自外部(如 HTTP 请求路径),应先解码再拆分:
import (
"net/url"
"strings"
)
func buildURL(baseURL *url.URL, path string) *url.URL {
u := *baseURL
u.User = nil
// 先对完整 path 解码,避免重复转义
decodedPath, err := url.PathUnescape(path)
if err != nil {
// 处理解码错误(如非法 % 序列)
decodedPath = path
}
if q := strings.Index(decodedPath, "?"); q > 0 {
u.Path = decodedPath[:q]
u.RawQuery = decodedPath[q+1:]
} else {
u.Path = decodedPath
}
return &u
}⚠️ 注意事项:
- 不要手动拼接或直接赋值含 % 的字符串到 Path/RawQuery;
- RawQuery 应只包含未编码的查询参数键值对(如 "a=1&b=hello world"),Go 会在 String() 中自动编码空格、&、= 等;
- 若需保留原始编码(如代理场景),应使用 url.ParseRequestURI() 解析整个 URL,而非手动拆分;
- Go 1.3.3 较老,建议升级至 Go 1.19+,新版 url 包对边缘 case 处理更健壮,且提供 url.JoinPath() 等安全辅助函数。
总结:URL 构建的核心原则是——语义优先,编码交由标准库。把 Path 当作文件路径语义、RawQuery 当作查询参数语义来操作,让 url.URL.String() 负责最终的合规编码,即可避免 %2525 类陷阱。
