Codificador / Decodificador de URL
Codifica caracteres especiales en URLs o decodifica cadenas URL con codificación porcentual. Maneja parámetros de consulta de forma segura.
encodeURIComponent / decodeURIComponent — codifica todos los caracteres especiales
Cómo Usar el Codificador / Decodificador de URL
- Pega la URL o el texto que deseas codificar o decodificar en el campo de entrada.
- Elige Codificar para convertir caracteres especiales a formato porcentual, o Decodificar para revertir el proceso.
- El resultado se genera al instante en tu navegador sin enviar datos a ningún servidor.
- Copia la salida codificada o decodificada para usarla en tu aplicación.
¿Qué es la Codificación URL (Codificación Porcentual)?
La codificación URL, también conocida como codificación porcentual, es un mecanismo para codificar caracteres especiales en URLs según lo definido por RFC 3986. Los caracteres que no están permitidos en URLs o que tienen un significado especial (como espacios, &, =, ?, #) se reemplazan con un signo de porcentaje seguido de su valor hexadecimal en ASCII. Por ejemplo, un espacio se convierte en %20 y un ampersand en %26. La codificación URL adecuada es fundamental para la seguridad web y el correcto funcionamiento de las aplicaciones. Al construir cadenas de consulta, no codificar la entrada del usuario puede provocar inyección de parámetros, donde un atacante elabora entradas que añaden o modifican parámetros de la URL. En el contexto de seguridad web, la codificación URL incorrecta se explota frecuentemente en vulnerabilidades de redirección abierta, ataques de Server-Side Request Forgery (SSRF) y diversas técnicas de inyección. Los desarrolladores que trabajan con APIs deben asegurarse de que los valores de los parámetros estén correctamente codificados antes de incluirlos en las URLs de las solicitudes. La doble codificación (codificar una cadena ya codificada) es un error común que puede causar problemas. En pruebas de penetración, la codificación URL y la doble codificación son técnicas estándar para eludir firewalls de aplicaciones web y filtros de entrada que no manejan correctamente la entrada codificada.
Preguntas Frecuentes
Cualquier carácter fuera del conjunto no reservado (A-Z, a-z, 0-9, -, _, ., ~) debe codificarse cuando se usa en un componente de URL. Los caracteres reservados como :, /, ?, #, & y = tienen un significado especial en las URLs y deben codificarse con porcentaje cuando se usan como datos en lugar de delimitadores.
En JavaScript, encodeURI codifica una URI completa preservando los caracteres que son delimitadores válidos de URL (://?#&=). encodeURIComponent codifica todo excepto los caracteres no reservados, lo que lo hace adecuado para codificar valores individuales de parámetros. Usar encodeURI en el valor de un parámetro de consulta puede dejar caracteres propensos a inyección sin codificar.
Una codificación URL incorrecta puede provocar vulnerabilidades graves. Los atacantes explotan la codificación insuficiente para inyectar parámetros adicionales, eludir reglas de WAF mediante doble codificación, crear payloads de redirección abierta y ejecutar ataques SSRF. Siempre codifica los datos proporcionados por el usuario antes de incluirlos en las URLs, y decodifícalos correctamente en el lado del servidor.