Czy mogę uciec od znaków specjalnych HTML w javascript?

201

Chcę wyświetlić tekst do HTML za pomocą funkcji javascript. Jak mogę uniknąć specjalnych znaków HTML w JS? Czy istnieje interfejs API?

javascript html

— fernando123
źródło

11

Nie jest to duplikat, ponieważ to pytanie nie dotyczy jQuery. Interesuje mnie tylko ten, ponieważ nie używam jQuery ...

— lvella,

4

możliwy duplikat odpowiednika HtmlSpecialChars w JavaScript?

— Bergi,

330

function escapeHtml(unsafe) {
    return unsafe
         .replace(/&/g, "&amp;")
         .replace(/</g, "&lt;")
         .replace(/>/g, "&gt;")
         .replace(/"/g, "&quot;")
         .replace(/'/g, "&#039;");
 }

— Bjornd
źródło

11

Dlaczego „& # 039;” a nie „& apos;” ?

— sereda

36

ponieważ: stackoverflow.com/questions/2083754/…

— Shreyans

2

Myślę, że wyrażenia regularne w replace()połączeniach są niepotrzebne. Równie dobrze sprawdzą się zwykłe stare ciągi jednoznakowe.

— jamix

22

@jamix Nie można dokonać globalnego zastąpienia nieprzetworzonymi ciągami, podczas gdy nowoczesne silniki przeglądarek całkiem dobrze optymalizują proste wyrażenia regularne.

— bjornd

5

czy jest jakiś standardowy interfejs API czy to jedyny sposób?

— Sunil Garg

56

function escapeHtml(html){
  var text = document.createTextNode(html);
  var p = document.createElement('p');
  p.appendChild(text);
  return p.innerHTML;
}

// Escape while typing & print result
document.querySelector('input').addEventListener('input', e => {
  console.clear();
  console.log( escapeHtml(e.target.value) );
});

<input style='width:90%; padding:6px;' placeholder='&lt;b&gt;cool&lt;/b&gt;'>

Rozwiń fragment kodu

— spiderlama
źródło

Działa tutaj, ale nie działa dla mnie offline w przeglądarce

47

Możesz użyć .text()funkcji jQuery .

Na przykład:

http://jsfiddle.net/9H6Ch/

Z dokumentacji jQuery dotyczącej .text()funkcji:

Musimy zdawać sobie sprawę, że ta metoda ucieka przed podanym ciągiem znaków, aby był poprawnie renderowany w HTML. W tym celu wywołuje metodę DOM .createTextNode (), nie interpretuje ciągu jako HTML.

Poprzednie wersje Dokumentacji jQuery sformułowały to w ten sposób ( wyróżnienie dodane ):

Musimy zdawać sobie sprawę, że ta metoda ucieka przed podanym ciągiem znaków, aby był poprawnie renderowany w HTML. W tym celu wywołuje metodę DOM .createTextNode (), która zastępuje znaki specjalne ich odpowiednikami encji HTML (np. & Lt; for <).

— jeremysawesome
źródło

3

Możesz nawet użyć go na świeżym elemencie, jeśli chcesz po prostu przekonwertować w ten sposób: const str = "foo<>'\"&"; $('<div>').text(str).html()wydajnościfoo<>'"&

— amoebe

28

Myślę, że znalazłem właściwy sposób, aby to zrobić ...

// Create a DOM Text node:
var text_node = document.createTextNode(unescaped_text);

// Get the HTML element where you want to insert the text into:
var elem = document.getElementById('msg_span');

// Optional: clear its old contents
//elem.innerHTML = '';

// Append the text node into it:
elem.appendChild(text_node);

— lvella
źródło

Nauczyłem się dziś czegoś nowego o HTML. w3schools.com/jsref/met_document_createtextnode.asp .

— Sellorio

1

Należy pamiętać, że treść węzła tekstowego nie jest document.createTextNode("<script>alert('Attack!')</script>").textContent

— usuwana,

Jest to poprawny sposób, jeśli wszystko, co robisz, to ustawianie tekstu. To także textContent, ale najwyraźniej nie jest dobrze obsługiwane. Nie zadziała to jednak, jeśli budujesz ciąg znaków z tekstem częściowym HTML-em, to nadal musisz uciec.

— jgmjgm

28

Za pomocą lodash

_.escape('fred, barney, & pebbles');
// => 'fred, barney, &amp; pebbles'

kod źródłowy

— cs01
źródło

jakie jest przeciwieństwo tego? nazwa funkcji, która działa odwrotnie?

— Sunil Garg

1

Te same funkcje w podkreśleniu: underscorejs.org/#escape & underscorejs.org/#unescape

— juanmirocks

21

To zdecydowanie najszybszy sposób, w jaki to widziałem. Ponadto robi to wszystko bez dodawania, usuwania lub zmieniania elementów na stronie.

function escapeHTML(unsafeText) {
    let div = document.createElement('div');
    div.innerText = unsafeText;
    return div.innerHTML;
}

— arjunpat
źródło

7

Ostrzeżenie: nie zawiera cudzysłowów, więc nie można użyć wyjściowych wartości atrybutów w kodzie HTML. Np. var divCode = '<div data-title="' + escapeHTML('Jerry "Bull" Winston') + '">Div content</div>'Da niepoprawny HTML!

— izogfif

17

Ciekawe było znalezienie lepszego rozwiązania:

var escapeHTML = function(unsafe) {
  return unsafe.replace(/[&<"']/g, function(m) {
    switch (m) {
      case '&':
        return '&amp;';
      case '<':
        return '&lt;';
      case '"':
        return '&quot;';
      default:
        return '&#039;';
    }
  });
};

Nie analizuję, >ponieważ nie psuje kodu XML / HTML w wyniku.

Oto testy: http://jsperf.com/regexpairs Ponadto stworzyłem funkcję uniwersalną escape: http://jsperf.com/regexpairs2

— iegik
źródło

1

Interesujące jest to, że użycie przełącznika jest znacznie szybsze niż mapa. Nie spodziewałem się tego! Dzięki za udostępnienie!

— Peter T.

Istnieje o wiele więcej znaków Unicode, niż można to zrobić, biorąc pod uwagę kod. W ogóle nie poleciłbym tej metody ręcznej.

— vsync

Dlaczego w ogóle unikasz znaków wielobajtowych? Po prostu użyj UTF-8 wszędzie.

— Neonit,

4

Pomijanie> może potencjalnie uszkodzić kod. Należy pamiętać, że wewnątrz <> znajduje się również HTML. W takim przypadku pomijanie> się zepsuje. Jeśli uciekasz tylko między tagami, prawdopodobnie potrzebujesz tylko klawiszy Escape <i &.

— jgmjgm

8

Najbardziej zwięzłym i wydajnym sposobem wyświetlania niekodowanego tekstu jest użycie textContentwłaściwości.

Szybszy niż używanie innerHTML. I to bez uwzględnienia ucieczki.

document.body.textContent = 'a <b> c </b>';

Rozwiń fragment kodu

— użytkownik
źródło

@ZzZombo, całkowicie normalne jest to, że nie działa ze znacznikami stylu i skryptów. Kiedy dodajesz do nich treść, dodajesz kod , a nie tekst , w tym przypadku użyj innerHTML. Co więcej, nie musisz go uciekać, są to dwa specjalne tagi, które nie są analizowane jako HTML. Podczas analizowania ich zawartość jest traktowana jako tekst do momentu </spełnienia sekwencji zamykającej .

— użytkownik

6

Elementy DOM obsługują konwersję tekstu na HTML poprzez przypisanie do innerText . innerText nie jest funkcją, ale przypisywanie do niej działa tak, jakby tekst został poprzedzony znakiem ucieczki.

document.querySelectorAll('#id')[0].innerText = 'unsafe " String >><>';

— teknopaul
źródło

1

Przynajmniej w Chrome przypisywanie tekstu wielowierszowego dodaje <br>elementy zamiast znaków nowej linii, które mogą rozkładać niektóre elementy, takie jak style lub skrypty. Nie createTextNodejest podatny na ten problem.

— ZzZombo,

1

innerTextma pewne problemy ze starszymi wersjami / specyfikacjami. Lepszy w użyciu textContent.

— Roy Tinker,

3

Możesz zakodować każdy znak w ciągu:

function encode(e){return e.replace(/[^]/g,function(e){return"&#"+e.charCodeAt(0)+";"})}

Lub po prostu celuj w głównych bohaterów, aby się martwić (&, inebreaks, <,>, "i '), takich jak:

function encode(r){
return r.replace(/[\x26\x0A\<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
}

test.value=encode('How to encode\nonly html tags &<>\'" nice & fast!');

/*************
* \x26 is &ampersand (it has to be first),
* \x0A is newline,
*************/

<textarea id=test rows="9" cols="55">&#119;&#119;&#119;&#46;&#87;&#72;&#65;&#75;&#46;&#99;&#111;&#109;</textarea>

Rozwiń fragment kodu

— Dave Brown
źródło

Pisanie własnej funkcji ucieczki jest ogólnie złym pomysłem. Inne odpowiedzi są lepsze pod tym względem.

— jannis

2

Jednowarstwowy (dla ES6 +):

var escapeHtml = s => (s + '').replace(/[&<>"']/g, m => ({
    '&': '&amp;', '<': '&lt;', '>': '&gt;',
    '"': '&quot;', "'": '&#39;'
})[m]);

W przypadku starszych wersji:

function escapeHtml(s) {
    return (s + '').replace(/[&<>"']/g, function (m) {
        return ({
            '&': '&amp;', '<': '&lt;', '>': '&gt;',
            '"': '&quot;', "'": '&#39;'
        })[m];
    });
}

— Ossia
źródło

0

Ten problem pojawił się podczas tworzenia struktury DOM. To pytanie pomogło mi rozwiązać. Chciałem użyć podwójnego szewronu jako separatora ścieżki, ale dodanie nowego węzła tekstowego bezpośrednio spowodowało wyświetlenie kodu znaku ucieczki zamiast samego znaku:

var _div = document.createElement('div');
var _separator = document.createTextNode('&raquo;');
//_div.appendChild(_separator); /* this resulted in '&raquo;' being displayed */
_div.innerHTML = _separator.textContent; /* this was key */

— Silas
źródło

0

Jeśli korzystasz już z modułów w swojej aplikacji, możesz użyć modułu Escape-HTML .

import escapeHtml from 'escape-html';
const unsafeString = '<script>alert("XSS");</script>';
const safeString = escapeHtml(unsafeString);

— Shimon S.
źródło

-3

Spróbuj tego, korzystając z prototype.jsbiblioteki:

string.escapeHTML();

Wypróbuj wersję demo

— Szczęściarz
źródło

5

Wymaga to biblioteki „prototype.js”, która nie była od razu widoczna z wersji demonstracyjnej. :(

— audiodude

-4

Wymyśliłem to rozwiązanie.

Załóżmy, że chcemy dodać do elementu trochę html z niebezpiecznymi danymi od użytkownika lub bazy danych.

var unsafe = 'some unsafe data like <script>alert("oops");</script> here';

var html = '';
html += '<div>';
html += '<p>' + unsafe + '</p>';
html += '</div>';

element.html(html);

Jest niebezpieczny przed atakami XSS. Teraz dodaj to.

$(document.createElement('div')).html(unsafe).text();

Tak jest

var unsafe = 'some unsafe data like <script>alert("oops");</script> here';

var html = '';
html += '<div>';
html += '<p>' + $(document.createElement('div')).html(unsafe).text(); + '</p>';
html += '</div>';

element.html(html);

Dla mnie jest to o wiele łatwiejsze niż używanie .replace()i usunie !!! wszystkie możliwe tagi HTML (mam nadzieję).

— Kostiantyn
źródło

to niebezpieczny pomysł, analizuje niebezpieczny ciąg HTML jako HTML, gdyby element został dołączony do DOM, to by go wyegzekwował. zamiast tego użyj .innerText.

— teknopaul

To nie jest bezpieczne. Przekształca się <script>w <script>.

— fgb