对HTTP参数进行编码/混淆

不要这样做。如果您可以在客户端代码中构建某些东西来混淆传输回服务器的数据，那么恶意黑客也可以这样做。无论您的官方客户端做什么，都无法信任发送到服务器的数据。坚持对客户端数据进行转义并在服务器端使用白名单验证。使用SSL，如果可以，请将请求参数放在POST而不是GET中。 扩展编辑 您的困惑源于阻止用户篡改请求数据的目标，以及实施标准安全措施的需要。Web应用程序的标准安全措施包括使用身份验证、权限和会话管理、审计跟踪、数据验证和安全通信渠道的组合。
使用SSL无法防止客户端篡改数据，但它可以防止中间人查看或篡改数据，并指导行为良好的浏览器不将敏感数据缓存到URL历史记录中。
看起来您有一个简单的Web应用程序，没有身份验证，并且在GET中传递控制它的请求参数，因此一些非技术类人员可能会发现user=WorkerBee可以在其浏览器栏中简单更改为user=Boss，从而访问他们不应该看到的数据或做他们不应该做的事情。 您（或客户）希望混淆这些参数是天真的，因为这只会挫败最不敏感技术人员。这是一个不成熟的措施，而且您还没有找到现有解决方案的原因是这不是一个好方法。最好花时间实现一个体面的身份验证系统，并加入审计跟踪以确保安全（如果这确实是您所做的，请将Gary的答案标记为正确）。
因此，总结一下：

1. 混淆并不是真正的安全。
2. 即使数据经过了混淆，也不能信任用户数据。
验证数据。
3. 使用安全通信渠道（SSL）有助于阻止其他相关威胁。
4. 你应该放弃你的方法并采取正确的方式。在您的情况下，正确的方法可能意味着添加一个带有特权系统的身份验证机制，以防止用户访问他们没有足够权限查看的内容-包括他们可能试图通过篡改GET参数来访问的内容。Gary R的回答，以及Dave和Will的评论都指出了这一点。

如果您的目标是“减少空闲用户发送任意数据的机会”，那么我建议尝试另一种更简单的方法。创建一个加密私钥并将其存储在应用程序服务器端。每当您的应用程序生成一个URL时，使用您的私有加密密钥创建URL的哈希值，并将该哈希值放入查询字符串中。每当用户请求带有URL参数的页面时，重新计算哈希并查看是否匹配。这将让您相信是您的应用程序计算了该URL。但它也将使查询字符串参数可读。伪代码如下：

SALT = "so9dnfi3i21nwpsodjf";

function computeUrl(url) {
  return url + "&hash=" + md5(url + SALT );
}

function checkUrl(url) {
  hash = /&hash=(.+)/.match(url);
  oldUrl = url.strip(/&hash=.+/);
  return md5(oldUrl + SALT ) == hash;
}

如果你想限制对数据的访问，那么请使用某种带有cookie提供单点登录认证密钥的登录机制。如果客户端发送带有密钥的cookie，则他们可以根据与其账户相关联的权限（管理员、公共用户等）来操作数据。在Java中，只需查看Spring Security、CAS等即可轻松使用此实现。cookie中提供的令牌通常使用发行服务器的私钥进行加密，并且通常是防篡改的。
或者，如果您希望未经身份验证的公共用户能够向您的站点发布一些数据，则所有投注都将关闭。您必须在服务器端进行验证。这意味着限制对某些URI的访问，并确保所有输入都已清除。
这里的黄金法则是禁止一切，除了您知道是安全的东西。

如果目标是防止“静态”URL被篡改，那么可以简单地加密参数或对其进行签名。在URL参数后面添加MD5哈希值以及一些盐（salt）可能已经足够安全了。盐可以是会话中存储的随机字符串。
然后可以这样做：

http://example.com/service?x=123&y=Bob&sig=ABCD1324

这种技术暴露了数据（即他们可以“看到”xyz=123），但他们无法更改数据。
“加密”有一个优点（我使用这个术语并不严格）。这是指加密URL的整个参数部分。
在这里，你可以做一些像这样的事情：

http://example.com/service?data=ABC1235ABC

使用加密的好处有两个。

首先，它可以保护数据（例如，用户永远看不到xyz=123）。

另一个特点是它是可扩展的：

http://example.com/service?data=ABC1235ABC&newparm=123&otherparm=abc

在这里，您可以解码原始负载，并与新数据进行（安全）合并。
因此，请求可以向请求添加数据，但不能更改现有数据。
您可以通过签名技术执行相同的操作，只需将整个请求合并为一个“blob”，该“blob”会被隐式签名。那是“有效”的加密，只是一种弱加密。
显然，您不希望在客户端上执行任何此操作。毫无意义。如果您可以做到这一点，“他们”也可以做到这一点，您无法区分它们，因此最好根本不要这样做 - 除非您想在普通HTTP端口（而不是TLS）上“加密”数据，但是然后人们会明智地想知道“为什么要麻烦”。
对于Java，所有这些工作都在过滤器中完成，这是我做的方式。后端与此隔离开来。
如果您愿意，可以使用出站过滤器使后端完全与此隔离，以处理URL加密/签名。
这也是我所做的。
缺点是要正确和高效地完成这项工作非常复杂。您需要一个轻量级的HTML解析器来提取URL（我编写了一个流解析器来即时完成它，因此它没有将整个页面复制到RAM中）。
好处是所有内容侧“只需工作”，因为它们对此一无所知。
在处理Javascript时还有一些特殊处理（因为您的过滤器不容易“知道”何时存在要加密的URL）。我通过要求签名的URL是具体的“var signedURL ='....'”来解决这个问题，因此我可以轻松找到输出中的那些。对于设计师来说，并不像您想象的那样具有压倒性的负担。
过滤器的另一个好处是您可以将其禁用。如果出现一些“奇怪的行为”，只需关闭它即可。如果行为继续，您已经发现了与加密相关的错误。它还使开发人员可以使用纯文本进行工作，并将加密留给集成测试。
虽然需要付出努力，但最终效果很好。

您可以使用base64或类似的编码方式对数据进行编码。我会将参数本身编码为JSON以进行序列化。

有类似 jCryption 的东西吗？

http://www.jcryption.org/examples/