go 的 `url.url` 结构在设置 `rawquery` 时会对路径中已存在的 `%` 字符进行二次编码,导致如 `test%` 变为 `test%2525`,根本原因是将已编码的 `%25` 误作原始 `%` 再次转义。
在 Go 中,url.URL 类型对 URL 各组件(如 Path、RawQuery)的编码行为有严格规范:RawQuery 字段要求传入的是 已完整编码 的查询字符串(即不包含未转义的特殊字符),而 Path 字段则要求传入的是 未编码 的原始路径片段。当开发者将一个本就含 %(尤其是 %25 这类已编码序列)的原始字符串直接赋值给 u.Path,再配合手动设置 u.RawQuery 时,u.String() 在拼接并标准化 URL 时会触发自动转义逻辑——它会把 Path 中任何不符合 RFC 3986 的字符(包括孤立的 %)再次编码,从而造成“双重转义”。
例如,原始路径为 "test%":
- % 是非法路径字符,Go 认为其需编码 → 转为 %25;
- 若原始输入实为 "test%25"(即用户本意是字面量 %,但错误地以编码形式传入),Go 会将其中的 % 视为转义起始符,尝试解码;解码失败后,仍将其作为普通 % 处理,最终再次编码为 %25,得到 %2525。
✅ 正确做法是:确保 u.Path 使用原始(未编码)字符串,而 u.RawQuery 使用已编码字符串,并避免混用。推荐使用 url.Parse() + url.QueryEscape() 组合:
import (
"net/url"
"strings"
)
func buildURL(baseURL, path string) string {
u, err := url.Parse(baseURL)
if err != nil {
panic(err)
}
u.User = nil
// 分离路径与查询参数
qIndex := strings.Index(path, "?")
if qIndex > 0 {
u.Path = path[:qIndex]
// RawQuery 必须是已编码的查询字符串
u.RawQuery = path[qIndex+1:]
} else {
u.Path = path
u.RawQuery = ""
}
return u.String()
}⚠️ 关键注意事项:
- 不要手动拼接含 % 的 Path 字符串,应使用 url.PathEscape() 对原始路径片段编码(如 url.PathEscape("test%") → "test%25"),再赋值给 u.Path;
- 若需构造带参数的 URL,优先使用 u.Query()(返回 url.Values)并调用 .Encode() 设置 RawQuery,而非直接操作字符串;
- url.URL.String() 总是返回标准化、合法编码的 URL;调试时可用 fmt.Printf("%+v", u) 查看各字段原始值,避免被 String() 的自动编码误导。
总结:Go 的 URL 处理遵循 RFC 3986,其安全性与一致性依赖于开发者明确区分“原始内容”与“已编码内容”。混淆二者是 %2525 类问题的根源——始终让 Path 保持原始、RawQuery 保持编码,或统一交由 url 包的转义函数处理,即可彻底规避双重转义。
