Tekst ucieczki dla HTML

136

Jak zmienić znaczenie tekstu do użycia w języku HTML w języku C #? chcę zrobić

sample="<span>blah<span>"

i mają

<span>blah<span>

wyświetlają się jako zwykły tekst zamiast bla tylko z tagami części html :(. Używając C #, a nie ASP

c# html escaping

185

using System.Web;

var encoded = HttpUtility.HtmlEncode(unencoded);

— Michael S. Scherotter
źródło

3

Jeśli chcesz również zakodować znaki Unicode na inne niż Unicode, sprawdź to: stackoverflow.com/questions/82008/…

— Gyuri

4

Coś, czego nie chcesz się dowiedzieć w zły sposób: powyższa metoda sama w sobie nie wymyka się znakom sterującym. Zobacz zaakceptowaną odpowiedź tutaj: stackoverflow.com/a/4501246/1543677 i użyj obu.

— pkExec,

HttpUtility już nie istnieje (wygraj aplikacje ze sklepu)

— Tertium

82

Możesz również użyć tego, jeśli nie chcesz używać System.Webzestawu:

var encoded = System.Security.SecurityElement.Escape(unencoded)

W tym artykule różnica między System.Security.SecurityElement.Escape()i System.Web.HttpUtility.HtmlEncode()polega na tym, że ten pierwszy koduje również (')znaki apostrofów .

— Tereza Tomcova
źródło

7

Nie mówiąc o SecurityElement.Escape()ucieczkach dla XML, który nie jest dokładnie HTML.

— Victor Sergienko,

System.Security.SecurityElement nie istnieje w sklepowych aplikacji

— tertium

47

Jeśli używasz platformy .NET 4 lub nowszej i nie chcesz odwoływać się do niej System.Web, możesz użyć WebUtility.HtmlEncodefromSystem

var encoded = WebUtility.HtmlEncode(unencoded);

Ma to taki sam efekt, jak HttpUtility.HtmlEncodei powinno być preferowane System.Security.SecurityElement.Escape.

— Alex
źródło

Dlaczego miałoby być preferowane zamiast SecurityElement.Escape? Czy w tym drugim przypadku są luki, czy też ten pierwszy jest po prostu bardziej wydajny?

— Travis,

7

@Travis Nie ma też żadnych luk w zabezpieczeniach, po prostu SecurityElement.Escapedziała na XML i HtmlEncodeoperuje na HTML, a kodowanie XML i HTML ma nieco inne wymagania (szczegóły w tej odpowiedzi ). Na przykład SecurityElement.Escapemożna go używać ', a HtmlEncodenie.

— Alex,

1

@Travis Myślę, że jeszcze lepszą "wymówką" jest to, że System.Net jest dostępny dla przenośnych bibliotek klas, a pozostałe dwie opcje nie są / nie wydają się być dziś rano. ; ^)

— ruffin

19

nikt jeszcze nie wspomniał, w ASP.NET 4.0 jest do tego nowa składnia. zamiast

<%= HttpUtility.HtmlEncode(unencoded) %>

możesz po prostu to zrobić

<%: unencoded %>

czytaj więcej tutaj: http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and- asp-net-mvc-2.aspx

— Nacht
źródło

1

proszę podać składnię Razor? @Nacht

6

.NET 4.0 i nowsze:

using System.Web.Security.AntiXss;
//...
var encoded = AntiXssEncoder.HtmlEncode("input", useNamedEntities: true);

— Zwycięzca
źródło

5

Możesz użyć rzeczywistych tagów html <xmp>i </xmp>wyprowadzić ciąg, tak jak ma to miejsce, aby pokazać wszystkie tagi pomiędzy tagami xmp.

Lub możesz również użyć na serwerze Server.UrlEncodelub HttpUtility.HtmlEncode.

— Andrew Siemer
źródło

Wyjaśniłem pytanie. Nie chcę, aby tagi były częścią html, jak może to zrobić użytkownik </pre>, i przerywają go.

Świetny post dzięki człowiekowi, to naprawiło dokładnie to, czego szukałem!

— Spets

1

<xmp>został wycofany dawno temu: stackoverflow.com/questions/8307846/ ... użyj <pre>zamiast tego

— mortb

1

Nie widziałem tego tutaj

System.Web.HttpUtility.JavaScriptStringEncode("Hello, this is Satan's Site")

była to jedyna rzecz, która działała (asp 4.0+) w przypadku takiego kodu HTML. 'Zostaje wygenerowana za '(pomocą htmldecode) w HTML, powodując jego uszkodzenie:

<a href="article.aspx?id=268" onclick="tabs.open('modules/xxx/id/268', 'It&apos;s Allstars'); return false;">It's Allstars</a>

— Contra
źródło

1

jest kilka specjalnych znaków cudzysłowu, które nie są usuwane przez HtmlEncode i nie będą wyświetlane poprawnie w Edge lub IE, jak „i„. możesz rozszerzyć zastąpienie tych znaków funkcją podobną do poniższej.

private string RemoveJunkChars(string input)
{
    return HttpUtility.HtmlEncode(input.Replace("”", "\"").Replace("“", "\""));
}

— Iman
źródło

Prawdopodobnie udostępniasz treści przy użyciu niewłaściwego kodowania. IE i Edge nie mają problemów z wyświetlaniem takich znaków.

— Bouke

0

Dla tych, którzy w przyszłości szukają prostego sposobu na zrobienie tego na stronach Razor, użyj następującego:

W .cshtml:

@Html.Raw(Html.Encode("<span>blah<span>"))

W .cshtml.cs:

string rawHtml = Html.Raw(Html.Encode("<span>blah<span>"));

— fordrof
źródło