Экранирование строк HTML с помощью jQuery

Также см. Perf: jsperf.com/…

Это регулярное выражение приведет к странным результатам, если в рассматриваемом HTML уже есть экранированные сущности. Например, при побеге «Том и Джерри» получится «Том и Джерри».

Используйте var для локального объявления item; в любом случае, не используйте цикл for … in при просмотре массива! Вместо этого используйте обычную петлю for. Да, и это encodeURIComponent, а не escapeURIComponent.

Если вы работаете с атрибутами тегов, вам также необходимо избегать кавычек и / или двойных кавычек. Документация PHP для htmlspecialchars содержит полезный список выполняемых преобразований. php.net/htmlspecialchars

Просто любезное напоминание для новичков, не используйте это, если вы хотите, чтобы где-то на вашем веб-сайте были неанглийские символы ... Очевидно, этого не будет из-за символов с диакритическими знаками, например 'é': &eacute; Вот список HTML-сущностей, для справки: w3schools.com/tags/ref_entities.asp

В общем, изобретать велосипед для подобных вещей - плохая идея ... здесь очень много подводных камней.

@Ryan: Хотя стоит отметить, что это решение некорректно обрабатывает уже закодированные строки, оно также ничего не стоит, так как то же самое относится к большинству - возможно ко всем - решениям на этой странице.

@Ryan есть простое решение проблемы двойного кодирования. Просто снимите экранирование строки перед тем, как экранировать ее. Вызов unescape будет NOOP, если строка еще не включает закодированные объекты.

@RyanMohr Вы говорите, что побег из «Тома и Джерри» произведет «Тома и Джерри». Хороший! Это совершенно правильное поведение. Такое правильное экранирование позволяет людям публиковать комментарии, подобные вашему, в которых обсуждается HTML, без каких-либо странных вещей. Если бы он остался прежним, который был бы странным.

@LoganWolfer Если вы заявили, что ваш HTML-код правильно использует UTF-8, вам не нужно экранировать такой символ, как é, в é.

@ mklement0 Это решение работает правильно. Функция, которая принимает строку, не может узнать, закодирована ли строка или экранирована, правильным поведением всегда является экранирование, а не попытка угадать, экранирована уже строка или нет.

@Flimm, ты хотел адресовать свой комментарий Райану? Мой комментарий не подразумевает, что решение работает некорректно, он просто заявляет, что может быть полезно уточнить - разумное - предположение о том, что предполагается, что входная строка уже не закодирована.

Вы упустили момент, когда вам нужно получить доступ к $ ("div.someClass"). Html (), чтобы получить экранированную версию.

Это небезопасно для кроссбраузерности, если в вашей строке есть пробелы и символы \ n \ r \ t

@nivcaner, можете ли вы привести (или дать ссылку) пример его отказа?

@travis Это задокументировано на веб-сайте jQuery: «Из-за различий в парсерах HTML в разных браузерах возвращаемый текст может отличаться новой строкой и другими пробелами». api.jquery.com/text

@geofflee хм, интересно, спасибо за информацию! Я проведу небольшое тестирование, но похоже, что это когда .text() вызывается на некоторых узлах DOM. Могу ошибаться, отчитаюсь ...

Вот корзина JS для тестирования: jsbin.com/itahe4/7 Любое добавляемое мной количество пробелов, похоже, не препятствует правильному экранированию HTML.

Похоже, что комментарий @Kip к решению Хенрика Н. также применим и здесь: «Следует отметить, что это не делает ничего, чтобы избежать одинарных или двойных кавычек. Если вы планируете поместить значение в атрибут HTML, это может быть проблемой».

@mklement, если вы уже используете это решение, у вас не возникнет проблем, если вы сделаете что-то вроде: $(element2).attr("some-attr", $(element1).html()); См. этот пример: jsbin.com/atibig/1/edit

@travis Спасибо; Я предполагаю, что это то, что вы подразумевали, но просто чтобы сделать это явным: attr() выполняет свою собственную кодировку, поэтому вы можете просто передать незашифрованный текст напрямую; например, $(elem).attr("some-attr", "<script>alert('hi!');</script>").

почему бы просто не использовать $ ("

Это НЕ позволяет избежать кавычек и двойных кавычек, что плохо! wonko.com/post/html-escaping

Итак, если я сделаю elem.text(unsafestr), а затем вытащите это из элемента с помощью elem.html(), эта строка будет полностью безопасной для дальнейших манипуляций и innerHTML и (я хочу добавить к ней html и повторно вставить)

Кстати, вам не обязательно иметь элемент div.someClass в вашем документе. Вместо этого вы можете просто сгенерировать рабочий элемент на лету, например: var escaped = $('<div>').text(someHtmlString).html().

брофа права. Пожалуйста, отредактируйте сообщение, чтобы убрать необходимость в элементе div.

@broofa & Emerald214 Сначала я был сбит с толку, почему я даже написал это так, но это кто-то отредактировал. ☺ Обновлено, чтобы показать оба пути.

Я помогал другу с настраиваемым элементом, который его компания должна была использовать от третьей стороны. Этот настраиваемый элемент имел атрибут data-inner-html, в котором ожидаемым значением был HTML-тег, в котором вместо двойных кавычек использовались одинарные кавычки. HTML как значение для настраиваемого атрибута элемента HTML - поймите. Глядя на пример, предоставленный @travis в его комментарии, нам было нужно, чтобы HTML правильно и без проблем анализировал значение атрибута. Ваше здоровье!

Как упоминалось в ответе выше, это решение не гарантирует сохранение пробелов.

Следует отметить, что это не помогает избежать одинарных или двойных кавычек. если вы планируете поместить значение в атрибут HTML, это может быть проблемой.

@Kip: @travis обнаружил, что метод jQuery attr() (по крайней мере, начиная с версии 1.8.3) выполняет собственное кодирование, поэтому незакодированные строки могут передаваться напрямую; например: $('<div/>').attr('test-attr', '\'Tis "fun" & stuff')[0].outerHTML

При использовании этого решения я получаю ошибку '<div/>' is not a valid selector..

@tarekahf Это странно. Какую версию jQuery вы используете? Работает ли пример кода, если вы скопируете его дословно? Прекрасно работает с последней версией jQuery (3.1.0) здесь: jsbin.com/fazimigayo/1/edit?html,js,console,output (и он должен работать и на всех более ранних версиях)

Спасибо ... теперь работает. Не знаю, почему раньше это не сработало. Быстрый вопрос ... изменит ли это какой-либо существующий элемент <div>? когда вы выбираете элемент с помощью $('<div/>'), какой элемент фактически выбирается? Это виртуальный элемент div?

@tarekahf $('<div/>') создает новый элемент div, который не прикреплен к DOM. Таким образом, это не изменит никаких существующих элементов. Немного сбивает с толку, как jQuery использует одну и ту же функцию $() как для поиска элементов ($('div')), так и для их создания, а также для некоторых других вещей, помимо… :)

Я считаю, что это должно быть для (var item в findReplace) {escaped = escaped.replace (findReplace [item] [0], findReplace [item] [1]); }

Если вы собираетесь использовать ", вам нужно добавить хотя бы ' и `` в бой. Они действительно нужны только для данных строкового тега внутри элементов в html. Для самих данных html (вне тегов) требуются только первые 3.

Основная библиотека подчеркивания теперь имеет служебную функцию _.escape().

Обратите внимание, что, что любопытно, ' отображается на объект с форматом десятичный, тогда как / использует формат шестнадцатеричный.

Это должен быть принятый ответ - он простой, эффективный, не требует зависимостей и делает именно то, что задумано, без малопонятных хаков.

каковы рекомендации по преобразованию \n в <br>?

Вот обновленная ссылка на источник: github.com/janl/mustache.js/blob/…

@amwinter, я расширил сценарий выше, добавив "\ n": '<br>' на карту сущностей и обновил регулярное выражение до / [& "'\ /] | [\ n] / g

Это просто и правильно. Количество подводных камней в использовании text () и createTextNode того не стоит.

Еще одно замечание: если это выполняется с размытием, это позволит ему выполнить, если вы нажмете Enter. Как только вы потеряете фокус, он будет в порядке, но все еще может работать. Только что выяснил это на собственном горьком опыте = - /

Это следует принять как лучший ответ, поскольку он предотвращает выполнение сценариев XSS, таких как «».

Вы пишете карту и пишете функцию, соответствующую символам, для которых у вас есть ключ на вашей карте. В Интернете есть образцы, которые объединяют ключи в регулярное выражение. Преимущество в том, что при расширении карты вы не можете забыть адаптировать регулярное выражение. Пример: iwb.jp/jquery-javascript-html-escape underscore.js использует аналогичный подход.

@amwinter преобразование \n в <br> иногда вредно - например, в таких атрибутах, как title. использовать использование

Я остановился на &. Где взять мультиметр

вот полезная ссылка, если вы хотите избежать большего: ascii.cl/htmlcodes.htm

Можно ли было бы порекомендовать избегать отметок (`) до `? Некоторые версии IE позволяют указывать атрибуты в кавычках.

Я обнаружил, что соответствие на & вызывает проблемы для текста, который уже имеет кодировку, например, Vénérange & Clemente. Он стал бы V & eacute; n & eacute; range & Clemente. Поэтому я изменил регулярное выражение на это / & | ["'\ /] / и добавил пробел в карту символов" & ":" & ". Таким образом, он преобразует единственный &, но не тот, который используется для кодирования сам.

Зачем вообще кодировать /? Это не нужно.

Это мне очень помогло. Мне нужна была запись в escapeMap для преобразования пробелов в "% 20", так как мне нужно было размещать пути к файлам, где были пробелы в именах папок и файлов. Я также добавил пробел к регулярному выражению.

Это не избавит от символов Unicode, таких как; / u003c и / u003e для "".

Почему убрали обратную кавычку `? github.com/janl/mustache.js/blob/… - А что у функции инверсия?

Это для кодировки URL. Вопрос касался экранирования HTML, а это совсем другое.

@thelem, не если строки встроены в массивы JavaScript, встроенные в HTML, но я согласен, что речь шла о простом экранировании HTML, чтобы его можно было сразу отобразить как текст.

Какие типы исключений вы там подавляете?

Спасибо, что нашли время, @Zrajm. Хороший момент в том, что не нужно убегать; любая идея, почему и mustache.js, и underscore.js делают это? Кстати о последнем: он распознает только числовые объекты (представляющие ' и / ') в форме прописные шестнадцатеричные при ООНescaping. Таким образом, экранирование текста в mustache.js, что любопытно, использует шестнадцатеричное смешивание. и десятичные форматы - в underscore.js некорректно неэкранировать. Интересно, как с этим справляются другие популярные библиотеки.

Шестнадцатеричная форма нижнего регистра - это наиболее поддерживаемая форма, так что (вероятно) это форма, которую библиотеки должны преобразовывать в к. (Конечно, обе формы должны работать при преобразовании из.) - Апострофы ' имеют какую-то зарезервированную функцию в XML (и, следовательно, XHTML, я полагаю?), Поэтому XML (но не HTML) имеет именованный объект '. Я не знаю, почему и каким образом он «зарезервирован». - Косые черты являются особенными в URL-адресах, но фактически не гарантирует их включение в экранирующий HTML (поскольку кодирование URL-адресов - это нечто совершенно иное).

По ': правильно: безопасное использование только в XHTML; прямо из рот толпы - акцент мой: «(...) прочитано соответствующим процессором HTML, (...) использование 'или ссылок на настраиваемые объекты может не поддерживаться (...)» - на практике: поддержка современных браузеров это даже в HTML. Re case в шестнадцатеричном формате. (тот же источник; курсив мой): «x должен быть в нижнем регистре в XML-документах. […] hhhh может смешивать верхний и нижний регистр, хотя прописные буквы - это обычный стиль». Остается задаться вопросом, кто решил кодировать слэши; возможно, действительно просто путаница между кодировкой URI и HTML?

Заключительные мысли: кажется, что кодирование / не требуется, но кодирование ' по-прежнему кажется полезным для безопасного обращения с тем случаем, когда закодированная строка используется как значение атрибут, заключенное в одинарные кавычки.

Оба они медленные. Самое быстрое решение с двузначным полем - это серия замен, которым вместо функций передаются строки.

Полезно, но я также переместил __entityMap в локальную область видимости функции. И все это завернул в if (typeof String.prototype.escapeHTML !== 'function'){...}

text удаляет HTML-теги, но $ ('

Обязательно ли использовать два узла? Как насчет всего одного: var p = document.createElement('p'); p.textContent = html; return p.innerHTML;

@DanDascalescu: Согласно MDN, функция textContent поддерживается только Chrome 1+, Firefox 2, IE9, Opera 9.64 и Safari 3 (последние два помечены как «возможно раньше»). Таким образом, это нарушит утверждение OP о «полностью кроссбраузерности».

p.innerText = html; return p.innerHTML

А обратный - _.unescape(string).

Я не согласен. Чтобы обойти эту защиту XSS, вам придется использовать атаку XSS (внедрение сценария, отключающего экранирование), что вы фактически блокируете. В некоторых случаях на самом деле более целесообразно уйти от клиента, например, если данные поступают из REST API, который должен возвращать стандартный JSON.

@Qualcuno Если вы выполняете эту проверку на клиенте и отправляете эту информацию на сервер, полагая, что она была проверена, пользователь может просто отредактировать запрос, и сценарий будет сохранен в базе данных.

@Qualcuno Я включил несколько примеров, чтобы прояснить свою точку зрения.

Вопрос касался экранирования строк, полученных с сервера, в отображать их в браузере. То, что вы говорите, касается экранирования строк перед их отправкой на сервер, что другое дело (хотя вы правы, и это восходит к старому правилу никогда не принимайте вслепую информацию от клиента)

@Qualcuno Это популярный вопрос в Stackoverflow, и я считаю, что это важный момент, который необходимо рассмотреть. Вот почему я ответил.

@Qualcuno И ответ довольно открытый, поэтому я думаю, что мы должны осветить все вопросы.

Это называется двойным экранированием, и его следует исправить, убедившись, что ваши входные данные еще не экранированы. Что, если бы вы хотели буквально показать <пользователю? Или, возможно, текст будет повторно использован в другом месте и будет зависеть от того, что произошло побег?

Это не меняет кавычек - по крайней мере, сейчас в Firefox 52.

Экранирование кавычек имеет только функциональное значение в атрибутах. Поскольку мы экранируем < и >, экранирование кавычек также бесполезно, если только целью сгенерированного контента не является переход в атрибут.

Это также имеет (вероятный нежелательный) побочный эффект преобразования null в буквальный 'null'.

@efdee Я думаю, что любое из этих решений будет иметь такой эффект. Это дело программиста.

Ответы только на код не приветствуются, потому что они не объясняют, как они решают проблему. Обновите свой ответ, чтобы объяснить как это улучшает другие принятые и одобренные ответы, что этот вопрос уже задан. Кроме того, этому вопросу 9 лет, ваши усилия будут более оценены пользователями, у которых недавно остались вопросы без ответа. Просмотрите Как мне написать хороший ответ.

@FluffyKitten - это чрезвычайно красиво написанное сообщение в блоге о преимуществах и недостатках такой функции, в котором подробно объясняется все, что вы хотели бы знать :) shebang.brandonmintern.com/…

@ db306 Ответ был отмечен как низкое качество, потому что ответ, содержащий только код, не соответствует рекомендациям по переполнению стека - см. Как написать хороший ответ. Мой комментарий был добавлен в процессе проверки, чтобы объяснить, что требуется для его улучшения, т.е. ответ необходимо обновить, чтобы объяснить, что делает код и как он улучшает существующие ответы. Отзывы других обозревателей подтверждают это. Добавление внешней ссылки в комментарии по-прежнему не соответствует рекомендациям SO. Вместо этого Эндрю нужно включить соответствующую информацию прямо в свой ответ.

Обратите внимание, что срок действия brandonmintern DOT com истек и теперь он припаркован. Новый адрес shebang - shebang.mintern.net/foolproof-html-escaping-in-javascript/.