Unicode 字符检查器:码点、字节、实体与隐藏字符

真实使用场景

• 揪出让"重复用户名"校验抽风的隐形字符

  注册表单一直说 "john" 已被占用, 但客服查后台明明是空号。把两个 字符串都粘进来。结果发现其中一个的第二个字符其实是 U+0435 西里尔小写字母 IE, 而不是拉丁字母 `o`, 一个同形字。工具会把 它标红为"易混淆字符", 给出码点, 你立刻明白原始注册是用西里尔 字母把这个名字抢注了。没有逐字符码点, 你盯着两个肉眼完全一样 的字符串能查一整天。

• 排查被"干净"粘贴配置噎住的 JSON 解析器

  你的 YAML/JSON 加载器在第 1 行报 "unexpected token", 但文件在 编辑器里看着毫无问题。把第一行粘进来。汇总会标出在左花括号前面 潜伏的 U+FEFF 字节序标记 (BOM), 或者你以为是普通空格、实际是 U+00A0 不换行空格的地方。这俩在多数编辑器里都不可见。工具把它们 高亮为零宽/不可见字符, 给你 `` 的 JS 转义, 你就能用精确的 `replace` 把它删掉, 解析错误随之消失。

• 存 emoji 前先确认它到底怎么编码

  你在定一个 `VARCHAR` 列的长度, 结果一个 👨‍👩‍👧‍👦 全家福 emoji 就把长度限制冲爆了。粘进来看: grapheme 计数是 1, 码点计数是 7, UTF-8 字节数是 25。工具把这个簇拆开 (四个人物 emoji 被三个 U+200D 零宽连接符串起来), 你就明白为什么"一个 emoji"要占 25 字节, 从而正确地给列 (或者类似推特的字数预算) 定长度。

• 给棘手字形造一个精确的 HTML 实体或 JS 转义

  你要把破折号、不换行空格或某个数学符号硬写进源码, 又不想直接粘 原始字符 (同事的编辑器可能把它弄乱)。把字形输入或粘进来, 每一行 都给你命名 HTML 实体 (`—`)、数字形式 (`—` / `—`) 以及 JS 转义 (`—`, 星形平面字符则是 `\u{1F600}`)。一键复制你文件里需要的那种确切形式。

• 在用户文本进生产前审一遍仿冒风险

  你在审核用户提交的显示名、域名标签或优惠码。粘进来, 扫一眼右列: 任何零宽空格、从右到左覆盖符 (U+202E, 经典的文件名仿冒手法) 或 混合脚本的易混淆字符都会被标上颜色。你拿到的是逐字符的判定, 而 不是去信任一个"看着正常"的字符串。同形字钓鱼和 RTL 覆盖攻击 正是这么从粗糙的校验里溜进去的。

常见踩坑

• grapheme 不等于码点。旗帜 emoji 🇯🇵 你看着是一个东西, 实际是两个码点 (区域指示符 J + P); 👍🏽 看着是一个 emoji, 实际是两个码点 (竖大拇指 + 肤色修饰符)。按码点或按 UTF-16 单元切字符串, 可能把一个 emoji 拦腰切断弄坏。面向用户的场景一律用工具显示的 grapheme 计数。

• JavaScript 里 `String.length` 数的是 UTF-16 码元, 不是字符。`'𝄞'.length` 是 2 不是 1, 因为高音谱号在 U+FFFF 之上, 需要一对代理。真正的字符数要用码点计数 (`[...str].length`), 永远别假设走一个下标就是走过一个字符。

• 用 `.replace(/ /g, '')` 删空格会漏掉隐形的那些。U+00A0 不换行空格、U+200B 零宽空格、U+FEFF BOM、U+3000 表意空格, 在人眼里都是空白, 在朴素正则眼里却不是。从工具里复制确切码点, 精确地去删它。

隐私说明