Opdrachtwaarden moeten http-gecodeerd zijn met gebruik van %xx escape-reeksen, zodat de waardetekenreeksen de gereserveerde tekens '=', '&' en '%' niet bevatten.
Anders zijn de standaard HTTP-coderingsregels van toepassing. De HTTP-specificatie vereist codering van de onveilige tekens en van alle besturingstekens, zoals <return>
en <tab>
. De URL-codering van een teken bestaat uit een symbool "%", gevolgd door de hexadecimale representatie (hoofdlettergevoelig) van twee cijfers van het ISO-Latijnse codepunt voor het teken. De onveilige tekens en codepunten zijn:
Onveilig teken | Codepunten (hex) | Codepunten (dec) |
---|---|---|
Spatie |
20 |
32 |
< |
3C |
60 |
> |
3E |
62 |
" |
22 |
34 |
# |
23 |
35 |
% |
25 |
37 |
&accolade; |
7B |
123 |
&Bron; |
7D |
125 |
| |
7C |
124 |
\ |
5C |
92 |
^ |
5E |
94 |
~ |
7E |
126 |
[ |
5B |
91 |
&rek; |
5D |
93 |
&graf; |
60 |
96 |
Gereserveerde tekens moeten ook worden gecodeerd.
Gereserveerd teken | Codepunten (Hex) | Codepunten (dec) |
---|---|---|
$ |
24 |
36 |
& |
26 |
38 |
+ |
2B |
43 |
, |
2C |
44 |
/ |
2F |
47 |
: |
3A |
58 |
; |
3B |
59 |
= |
3D |
61 |
? |
3F |
63 |
@ |
40 |
64 |
…&$text=rate&weight=85% 27#&…
Als er geen verduistering wordt toegepast, moet het bovenstaande aanvraagfragment als volgt worden gecodeerd:
…&$text=rate%26weight%3D85%25%2027%23&…
Als er verduistering is toegepast, kan de codering worden beperkt tot het verwijderen van '=', '&' en '%' tekens:
…&$text=rate%26weight%3D85%25 27#&…
Obfuscatie aanvragen, HTTP/1.1-specificatie (RFC 2616)