escape '& lt;' внутри & lt; tr & gt; тег в javascript [дубликат]
По умолчанию сценарий PowerShell очень ограничен по соображениям безопасности. Для использования в NuGet нам нужно открыть двери.
1. Шаг
Откройте Windows PowerShell, запустите как Administrator
2. Шаг
NuGet использует 32-битную консоль, поэтому на нее не будут влиять изменения в 64-битной консоли. Запустите следующий скрипт, чтобы убедиться, что вы настраиваете 32-битную консоль.
start-job { Set-ExecutionPolicy RemoteSigned } -RunAs32 | wait-job | Receive-Job
3. Шаг
Перезагрузка Visual Studio
21 ответ
После последних тестов я могу рекомендовать самое быстрое и полностью совместимое с браузером собственное решение javaScript (DOM):
function HTMLescape(html){
return document.createElement('div')
.appendChild(document.createTextNode(html))
.parentNode
.innerHTML
}
Если вы повторяете это много раз, вы можете сделать это с помощью подготовленных переменных:
//prepare variables
var DOMtext = document.createTextNode("test");
var DOMnative = document.createElement("span");
DOMnative.appendChild(DOMtext);
//main work for each case
function HTMLescape(html){
DOMtext.nodeValue = html;
return DOMnative.innerHTML
}
Посмотрите мое окончательное сравнение сравнение ( вопрос стека ).
Я понимаю, как поздно я отношусь к этой вечеринке, но у меня очень простое решение, которое не требует jQuery.
escaped = new Option(unescaped).innerHTML;
Редактировать: это не приводит к кавычками. Единственный случай, когда кавычки должны быть экранированы, - это если содержимое будет вставлено в строку в атрибут внутри строки HTML. Мне трудно представить себе случай, когда это будет хорошим дизайном.
Редактирование 2: Если производительность имеет решающее значение, решение с наивысшей производительностью (примерно на 50%) по-прежнему представляет собой серию регулярных выражений. Современные браузеры обнаружат, что регулярные выражения не содержат операторов, просто строку и сворачивают все их в одну операцию.
-
1
-
2Это не изменяет кавычки - по крайней мере, прямо сейчас в Firefox 52. – getsetbro 10 January 2017 в 21:55
-
3Исключение кавычек функционально только в атрибутах. Поскольку мы ускользаем от
<и>, нет никакой пользы для ускорения кавычек, если только намерение сгенерированного контента не входит в атрибут. – Adam Leggett 10 January 2017 в 22:38
Все решения бесполезны, если вы не предотвращаете повторный выход, например. большинство решений будут сдерживать & до &.
escapeHtml = function (s) {
return s ? s.replace(
/[&<>'"]/g,
function (c, offset, str) {
if (c === "&") {
var substr = str.substring(offset, offset + 6);
if (/&(amp|lt|gt|apos|quot);/.test(substr)) {
// already escaped, do not re-escape
return c;
}
}
return "&" + {
"&": "amp",
"<": "lt",
">": "gt",
"'": "apos",
'"': "quot"
}[c] + ";";
}
) : "";
};
-
1Я думаю, что ваши регулярные выражения должны быть глобальными, чтобы это работало, используя / & amp; / g вместо / & amp; /. – Jed Schmidt 17 June 2009 в 18:45
-
2Это регулярное выражение приведет к появлению странных результатов, если в рассматриваемом HTML уже есть экранированные объекты. Например, экранирование «Tom & amp; amp; Jerry & Quot; будет выпускать Tom & amp; amp; Jerry & Quot; – Ryan 7 November 2010 в 19:24
-
3Используйте
var, чтобы объявитьitemлокально; во всяком случае, не использовать циклfor … inвообще при цикле через массив! Вместо этого используйте обычный циклfor. О, и этоencodeURIComponent, а неescapeURIComponent. – Marcel Korpel 16 March 2011 в 17:33 -
4Просто доброе напоминание для новых людей, не используйте это, если вы намереваетесь иметь не-английские символы где-то на своем веб-сайте ... Очевидно, этого не будет делать из-за персонажей с акцентами типа «é»:
é Вот список объектов html, для справки: w3schools.com/tags/ref_entities.asp – LoganWolfer 1 April 2011 в 22:50 -
5@Ryan: Хотя стоит отметить, что это решение не корректно обрабатывает уже закодированные строки, также не стоит того, что то же самое относится к большинству - возможно, все - решения на этой странице. – mklement0 12 April 2013 в 15:21
-
6Если у вас будет
"s, вам нужно добавить, по крайней мере,'и `` to the fray. Это действительно необходимо для данных строковых тегов внутри элементов в html. Для самих html-данных (внешних тегов) требуются только первые 3. – Marius 12 July 2013 в 13:01 -
7Это называется двойным экранированием и должно быть исправлено, убедившись, что ваши входные данные еще не экранированы. Что, если вы хотите, чтобы буквально показать & amp; lt; для пользователя? Или, может быть, текст будет использоваться повторно в другом месте и зависит от того, что произошло? – thelem 15 October 2015 в 09:26
Пример простого JavaScript-экранирования:
function escapeHtml(text) {
var div = document.createElement('div');
div.innerText = text;
return div.innerHTML;
}
escapeHtml("<script>alert('hi!');</script>")
// "<script>alert('hi!');</script>"
-
1Кодовые ответы не рекомендуется, потому что они не объясняют, как они решают проблему. Пожалуйста, обновите свой ответ, чтобы объяснить , как это улучшается на других принятых и поддержанных ответах. этот вопрос уже есть. Кроме того, этот вопрос составляет 9 лет, ваши усилия будут более оценены пользователями, у которых есть недавние нерешенные вопросы. Пожалуйста, просмотрите Как написать хороший ответ . – FluffyKitten 11 October 2017 в 10:20
-
2@FluffyKitten - это чрезвычайно хорошо написанное сообщение в блоге о преимуществах и недостатках такой функции, которая подробно объясняет все, что вы хотели бы знать :) shebang.brandonmintern.com/… – db306 13 November 2017 в 08:54
-
3@ db306 Ответ был отмечен как низкое качество, потому что ответ только на код не соответствует рекомендациям Stack Overflow - см. . Как написать хороший ответ . Мой комментарий был добавлен в процессе обзора, чтобы объяснить, что требуется для его улучшения, т. Е. Ответ должен обновиться, чтобы объяснить, что делает код и как он улучшает существующие ответы. Приоритеты от других рецензентов, чтобы одобрить это. Добавление внешней ссылки на комментарии по-прежнему не соответствует рекомендациям SO. Вместо этого Эндрю нужно включить соответствующую информацию непосредственно в свой ответ. – FluffyKitten 14 November 2017 в 10:19
Достаточно легко использовать подчеркивание:
_.escape(string)
Underscore - это утилитная библиотека, которая предоставляет множество функций, которые не поддерживает js. Также есть lodash , который является тем же API, что и подчеркивание, но был переписан, чтобы быть более результативным.
Этот ответ предоставляет jQuery и обычные JS-методы, но это кратчайший, не используя DOM:
unescape(escape("It's > 20% less complicated this way."))
Снятая строка: It%27s%20%3E%2020%25%20less%20complicated%20this%20way.
Если экранированные пространства вас беспокоят, попробуйте:
unescape(escape("It's > 20% less complicated this way.").replace(/%20/g, " "))
Снятая строка: It%27s %3E 20%25 less complicated this way.
К сожалению, функция escape() была устаревшей в JavaScript версии 1.5 . encodeURI() или encodeURIComponent() являются альтернативами, но они игнорируют ', поэтому последняя строка кода превратится в это:
decodeURI(encodeURI("It's > 20% less complicated this way.").replace(/%20/g, " ").replace("'", '%27'))
Все основные браузеры по-прежнему поддерживают короткий код и получают количество старых сайтов, я сомневаюсь, что скоро это изменится.
-
1Это для кодировки URL. Вопрос был о вытеснении HTML, что очень отличается. – thelem 15 October 2015 в 09:22
-
2@thelem, если строки не встроены в массивы JavaScript, встроенные в HTML, но я согласен, что это было простое экранирование HTML, поэтому его можно сразу отобразить как текст. – Cees Timmerman 15 October 2015 в 13:02
function htmlDecode(t){
if (t) return $('<div />').html(t).text();
}
работает как прелесть
-
1text удаляет теги html, но $ ('& lt; div / & gt;'). html (t) .html (); работает – Bass Jobsen 8 August 2013 в 20:50
$('<div/>').text('This is fun & stuff').html(); // "This is fun & stuff"
Источник: http://debuggable.com/posts/encode-html-entities-with-jquery:480f4dd6-13cc-4ce9-8071-4710cbdd56cb
-
1Как упоминалось в вышеприведенном ответе, это решение не гарантирует сохранения пробелов. – geofflee 24 March 2011 в 12:53
-
2Следует отметить, что это не делает ничего, чтобы избежать одиночных или двойных кавычек. если вы планируете поместить значение в атрибут HTML, это может быть проблемой. – Kip 16 June 2011 в 20:21
-
3@Kip: @travis обнаружил, что метод
attr()jQuery (по крайней мере 1,8) делает свою собственную кодировку, так что незакодированные строки могут быть переданы непосредственно ; например:$('<div/>').attr('test-attr', '\'Tis "fun" & stuff')[0].outerHTML– mklement0 13 April 2013 в 06:08 -
4@tarekahf Это странно. Какую версию jQuery вы используете? Работает ли пример кода, если вы скопируете его в текстовом виде? Работает отлично с последним jQuery (3.1.0) здесь: jsbin.com/fazimigayo/1/edit?html,js,console,output (и он должен работать и во всех более ранних версиях) – Henrik N 5 November 2016 в 21:46
-
5@tarekahf
$('<div/>')создает новый элементdiv, который не привязан к DOM. Поэтому он не изменит никаких существующих элементов. Немного запутанно, как jQuery использует ту же функцию$()как для поиска элементов ($('div')), так и для их создания, а также для нескольких вещей помимо ... :) – Henrik N 8 November 2016 в 07:59
(function(undefined){
var charsToReplace = {
'&': '&',
'<': '<',
'>': '>'
};
var replaceReg = new RegExp("[" + Object.keys(charsToReplace).join("") + "]", "g");
var replaceFn = function(tag){ return charsToReplace[tag] || tag; };
var replaceRegF = function(replaceMap) {
return (new RegExp("[" + Object.keys(charsToReplace).concat(Object.keys(replaceMap)).join("") + "]", "gi"));
};
var replaceFnF = function(replaceMap) {
return function(tag){ return replaceMap[tag] || charsToReplace[tag] || tag; };
};
String.prototype.htmlEscape = function(replaceMap) {
if (replaceMap === undefined) return this.replace(replaceReg, replaceFn);
return this.replace(replaceRegF(replaceMap), replaceFnF(replaceMap));
};
})();
Нет глобальных переменных, некоторая оптимизация памяти. Использование:
"some<tag>and&symbol©".htmlEscape({'©': '©'})
результат:
"some<tag>and&symbol©"
Вот чистая, понятная функция JavaScript. Он будет избегать текста, такого как «несколько & lt; many», в «несколько & amp; lt; many».
function escapeHtmlEntities (str) {
if (typeof jQuery !== 'undefined') {
// Create an empty div to use as a container,
// then put the raw text in and get the HTML
// equivalent out.
return jQuery('<div/>').text(str).html();
}
// No jQuery, so use string replace.
return str
.replace(/&/g, '&')
.replace(/>/g, '>')
.replace(/</g, '<')
.replace(/"/g, '"')
.replace(/'/g, ''');
}
Я добавил пример mustache.js, добавив метод escapeHTML() к строковому объекту.
var __entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
String.prototype.escapeHTML = function() {
return String(this).replace(/[&<>"'\/]/g, function (s) {
return __entityMap[s];
});
}
Таким образом, довольно легко использовать "Some <text>, more Text&Text".escapeHTML()
-
1Полезно, но также я переместил
__entityMapв локальную область функции. И завернул все это вif (typeof String.prototype.escapeHTML !== 'function'){...}– FlameStorm 9 August 2017 в 11:27
Если вы сохраняете эту информацию в базе данных, ее неправильное обращение к HTML с использованием клиентского скрипта должно выполняться на сервере. В противном случае его легко обойти защиту XSS.
Чтобы яснее указать, вот пример использования одного из ответов:
Допустим, вы используете функцию escapeHtml, чтобы избежать Html из комментария в вашем блоге, а затем отправит его на ваш сервер.
var entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
function escapeHtml(string) {
return String(string).replace(/[&<>"'\/]/g, function (s) {
return entityMap[s];
});
}
Пользователь может:
- Измените параметры запроса POST и замените комментарий на javascript код.
- Перезаписать функцию escapeHtml с помощью консоли браузера.
Если пользователь вставляет этот фрагмент в консоль, он обходит проверку XSS:
function escapeHtml(string){
return string
}
-
1Я не согласен. Чтобы обойти эту защиту XSS, вам нужно будет использовать атаку XSS (ввод скрипта, который отключает экранирование), что вы фактически блокируете. В некоторых случаях на клиент лучше всего бежать, например, если данные поступают из REST API, который должен возвращать стандартный JSON. – Qualcuno 13 March 2015 в 19:00
-
2@Qualcuno Если вы выполняете эту проверку в клиенте и размещаете эту информацию на сервере, надеясь, что он был проверен, пользователь может просто отредактировать запрос, и скрипт будет сохранен в базе данных. – Kauê Gimenes 13 March 2015 в 19:12
-
3@Qualcuno Я включил несколько примеров, чтобы сделать мою мысль более ясной. – Kauê Gimenes 13 March 2015 в 19:21
-
4Вопрос состоял в том, чтобы убедить строки, полученные с сервера, в display в браузере. То, что вы говорите, это об экранировании строк перед отправкой их на сервер, что совсем другое (хотя вы правы, там, и оно возвращается к старому правилу никогда не слепо принимать какие-либо данные от клиента ) – Qualcuno 13 March 2015 в 19:26
-
5@Qualcuno Это популярный вопрос в Stackoverflow, и я считаю, что это важный момент для рассмотрения. Вот почему я ответил. – Kauê Gimenes 13 March 2015 в 19:29
Существует также решение от mustache.js
var entityMap = {
'&': '&',
'<': '<',
'>': '>',
'"': '"',
"'": ''',
'/': '/',
'`': '`',
'=': '='
};
function escapeHtml (string) {
return String(string).replace(/[&<>"'`=\/]/g, function (s) {
return entityMap[s];
});
}
-
1Это помогло мне. Благодарю. Кроме того, я не могу поверить, что у JS нет этого родного. – user 2 March 2013 в 23:45
-
2Обратите внимание, что, с любопытством,
'отображается в сущность с форматом decimal , тогда как/использует формат hex . – mklement0 18 April 2013 в 14:15 -
3Это должен быть принятый ответ - он прост, эффективен, не требует никаких зависимостей и делает именно то, что предназначено без каких-либо неясных хаков. – lorefnon 29 July 2013 в 13:28
-
4
-
5@amwinter, я расширил скрипт выше добавления & quot;\n & quot; : '& lt; br & gt;' к карте сущности и обновленному регулярному выражению к / [& amp; & lt; gt; "\ \] \ [\n] / g – walv 25 June 2014 в 17:30
Попробуйте Underscore.string lib, он работает с jQuery.
_.str.escapeHTML('<div>Blah blah blah</div>')
output:
'<div>Blah blah blah</div>'
-
1В основной библиотеке подчеркивания теперь есть функция
_.escape(). – codeape 11 October 2012 в 13:14
Вы можете легко сделать это с помощью vanilla js.
Просто добавьте текстовый узел в документ. Он будет экранирован браузером.
var escaped = document.createTextNode("<HTML TO/ESCAPE/>")
document.getElementById("[PARENT_NODE]").appendChild(escaped)
function htmlEscape(str) {
var stringval="";
$.each(str, function (i, element) {
alert(element);
stringval += element
.replace(/&/g, '&')
.replace(/"/g, '"')
.replace(/'/g, ''')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(' ', '-')
.replace('?', '-')
.replace(':', '-')
.replace('|', '-')
.replace('.', '-');
});
alert(stringval);
return String(stringval);
}
-
1
Это хороший безопасный пример ...
function escapeHtml(str) {
if (typeof(str) == "string"){
try{
var newStr = "";
var nextCode = 0;
for (var i = 0;i < str.length;i++){
nextCode = str.charCodeAt(i);
if (nextCode > 0 && nextCode < 128){
newStr += "&#"+nextCode+";";
}
else{
newStr += "?";
}
}
return newStr;
}
catch(err){
}
}
else{
return str;
}
}
-
1
Если вы переходите по маршруту регулярных выражений, в примере tghw есть ошибка.
<!-- WON'T WORK - item[0] is an index, not an item -->
var escaped = html;
var findReplace = [[/&/g, "&"], [/</g, "<"], [/>/g,">"], [/"/g,
"""]]
for(var item in findReplace) {
escaped = escaped.replace(item[0], item[1]);
}
<!-- WORKS - findReplace[item[]] correctly references contents -->
var escaped = html;
var findReplace = [[/&/g, "&"], [/</g, "<"], [/>/g, ">"], [/"/g, """]]
for(var item in findReplace) {
escaped = escaped.replace(findReplace[item[0]], findReplace[item[1]]);
}
-
1Я считаю, что это должно быть для (var item in findReplace) {escaped = escaped.replace (findReplace [item] [0], findReplace [item] [1]); } – Chris Stephens 23 June 2011 в 22:23
Я написал небольшую небольшую функцию, которая делает это. Это только ускользает от ", &, < и > (но обычно это все, что вам нужно). Это немного более элегантно, чем предыдущие предлагаемые решения, поскольку он использует только one .replace() для выполнения всего преобразования. (EDIT 2: Уменьшенная сложность кода, делая функцию еще более маленькой и опрятной, если вам интересно узнать исходный код, см. Конец этого ответа.)
function escapeHtml(text) {
'use strict';
return text.replace(/[\"&<>]/g, function (a) {
return { '"': '"', '&': '&', '<': '<', '>': '>' }[a];
});
}
Это простой Javascript, не используемый jQuery.
Сброс / и ' слишком
Редактировать в ответ на комментарий к mklement .
Вышеуказанная функция может легко расширяться и включать любой символ. Чтобы указать больше символов для выхода, просто вставьте их как в класс символов в регулярном выражении (т. Е. Внутри /[...]/g), так и в качестве записи в объекте chr. (EDIT 2: Аналогичным образом укорочена эта функция.)
function escapeHtml(text) {
'use strict';
return text.replace(/[\"&'\/<>]/g, function (a) {
return {
'"': '"', '&': '&', "'": ''',
'/': '/', '<': '<', '>': '>'
}[a];
});
}
Обратите внимание на приведенное выше использование ' для апострофа (вместо этого вместо символьной сущности ' определенная в XML, но изначально не была включена в спецификацию HTML и поэтому не может поддерживаться всеми браузерами. См. Статья в Википедии о кодировке символов HTML ). Я также вспоминаю, что где-то читал, что использование десятичных сущностей более широко поддерживается, чем использование шестнадцатеричного кода, но я пока не могу найти источник этого. (И не может быть много браузеров, которые не поддерживают шестнадцатеричные сущности.)
Примечание: добавление / и ' в список экранированных символов не так уж и полезно, поскольку они не имеют особого значения в HTML и не нужно нуждаться в .
Оригинал escapeHtml Функция
EDIT 2: Исходная функция, используемая a variable (chr), чтобы сохранить объект, необходимый для обратного вызова .replace(). Эта переменная также нуждалась в дополнительной анонимной функции для ее охвата, что делает функцию (ненужно) немного больше и сложнее.
var escapeHtml = (function () {
'use strict';
var chr = { '"': '"', '&': '&', '<': '<', '>': '>' };
return function (text) {
return text.replace(/[\"&<>]/g, function (a) { return chr[a]; });
};
}());
Я не тестировал, какая из двух версий выполняется быстрее. Если вы это сделаете, не стесняйтесь добавлять сюда информацию и ссылки.
-
1Красиво сделано; не могли бы вы изменить его, чтобы избежать
'и/? что сделало бы его более сжатой, автономной альтернативой исходному кодовому решению усы @Tom Gruner. – mklement0 12 April 2013 в 15:15 -
2@mklement Добавлен еще один пример, который включает в себя
'и/для вас. :) – zrajm 18 April 2013 в 08:05 -
3Спасибо, что нашли время, @ Zrajm. Хорошая мысль о том, что вам не нужно бежать; любая идея, почему обе
mustache.jsиunderscore.jsделают это? Говоря о последнем: он распознает числовые сущности (представляющие'и/') в форме в верхнем регистре hex , когда un экранируется. Таким образом, текст был экранирован вmustache.js, который с любопытством использует шестнадцатеричный символ mix . и десятичные форматы - не будет корректно отменено вunderscore.js. Интересно, как другие популярные библиотеки справляются с этим. – mklement0 18 April 2013 в 14:22 -
4Шестая форма в нижнем регистре является наиболее поддерживаемой формой, поэтому (возможно) форма, которую библиотеки должны преобразовать в . (Конечно, обе формы должны работать при преобразовании из .) - Apostrophes
'имеют какую-то зарезервированную функцию в XML (и, таким образом, XHTML, я полагаю?), Поэтому XML (но не HTML ) имеют именованный объект'. Именно в том, почему и каким образом он «зарезервирован», я не знаю. - Слэши являются особыми в URL-адресах, но это не на самом деле гарантирует их включение в экранирование HTML (поскольку кодировка URL-адреса совершенно другая). – zrajm 20 April 2013 в 02:29 -
5Заключительные мысли: похоже, что кодирование
/не требуется, но кодирование'по-прежнему представляется полезным безопасно обрабатывать случай, когда кодированная строка используется как значение , заключенное в single котировки . – mklement0 20 April 2013 в 04:05
$(element2).attr("some-attr", $(element1).html());См. этот пример: jsbin.com/atibig/1/edit – travis 12 April 2013 в 19:01var p = document.createElement('p'); p.textContent = html; return p.innerHTML;– Dan Dascalescu 13 August 2015 в 15:14textContentподдерживается только с помощью Chrome 1+, Firefox 2, IE9, Opera 9.64 и Safari 3 (последние два аннотированных «возможно, раньше»). Это, таким образом, нарушит совместимость OPs "полностью кросс-браузерных" Запрос. – zb226 11 November 2015 в 12:00p.innerText = html; return p.innerHTML– Bekim Bacaj 27 November 2016 в 09:58