HTML中的字符串转义

最新推荐文章于 2023-11-17 22:20:32 发布
最新推荐文章于 2023-11-17 22:20:32 发布
阅读量981 收藏
点赞数
分类专栏: HTML5 文章标签: html 转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangpb123/article/details/132308187
版权

为什么要转义?

转义可以防止 xss 攻击。接下来,我们来看一下如何转义。

HTML Sanitizer API

Sanitizer 是浏览器自带的转义方法,在2021年初被提出,兼容性问题很大。

列举几个常用的 API: 

const $div = document.querySelector('div');
const user_input = `<em>Hello There</em><img src="" onerror=alert(0)>`;
const sanitizer = new Sanitizer() 

$div.setHTML(user_input, sanitizer); // <div><em>Hello There</em><img src=""></div>
const user_input = `<em>Hello There</em><img src="" onerror=alert(0)>`
const sanitizer = new Sanitizer()

sanitizer.sanitizeFor("div", user_input) // HTMLDivElement <div>

sanitizer.sanitizeFor("div", user_input).innerHTML // <em>Hello There</em><img src="">

自定义方法进行转义

这是一个简单的转义,只会把跟 html 有冲突的标签进行转义。

const escapeMap = {
  //'&': '&amp;',
  '<': '&lt;',
  '>': '&gt;',
  '"': '&quot;',
  "'": '&#x27;'
};
 
function escape(string = '') {
  const reg = new RegExp(`[${Object.keys(escapeMap).join('')}]`, 'g');
  return string.replace(reg, item => escapeMap[item]);
}

防止用户输入恶意篡改,Vue,JSX 默认情况下不用处理,插入的文本都是按照字符串处理。Vue中用 v-html 引入的内容要做转义。

第三方库转义

DOMPurify

转义库里面 GitHub star 最多,11.5k。

const user_input = '<em>Hello There</em><img src="" onerror=alert(0)>';
const cleanedHtml = DOMPurify.sanitize(user_input); // <em>Hello There</em><img src="">

还可以根据需要定义自己的白名单(允许的标签)和属性,比如字符串中包含自定义标签和属性时就需要用到。

js-xss

sanitize-html

huangpb0624
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML转义字符串
07-27
NULL 博文链接:https://xiaocao000.iteye.com/blog/768571
HTML转义字符大全
weixin_34023982的博客
02-21 1846
1.常用转义字符 转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML,定义转义字符串的原因有两个:第一个原因是像“&lt;”和“&gt;”这类符号已经用来表示HTML标签,因此就不能直接当作文本的符号来使用。为了在HTML文档使用这些符号,就需要定义它的转义字符串。当解释程序遇到这类字符串时就把它解释为真实的字符。在输入转义字符串时,要...
java清除html转义字符
09-04
主要介绍了一个静态文件处理的一些便捷服务,包括java清除html转义字符,清除html代码,从style样式读取CSS的属性,将字符串截取指定长度,涉及log4j,common-lang类的学习
HTML 转义字符串
07-29
NULL 博文链接:https://javapub.iteye.com/blog/803160
escape-html:在HTML使用的转义字符串
02-03
转义-htmlHTML使用的转义字符串 此模块导出单个函数escapeHtml ,该函数用于转义内容字符串,以便可以将其内插到HTML内容。 安装 这是通过提供的模块。 使用完成 : $ npm install escape-html API escapeHtml(string) 在给定的文本字符串转义特殊字符,以便可以在HTML内容插入特殊字符。 此函数将转义以下字符: " , ' , & , <和> 。 请注意,转义的值仅适合作为标记的元素的文本内容插入到HTML,在这些元素,标记没有不同的转义机制(例如,不能将它们放置在<style>或[removed] ,作为这
常用的转义字符
dianchamian8747的博客
10-10 948
1 HTML字符实体(Character Entities),转义字符串(Escape Sequence)为什么要用转义字符串? 2 HTML<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页显示这些符号,该怎么办呢? 3 4 这就...
HTML常见转义字符大全
不定时分享最优质的网络技术与教程,满满的干货。
09-11 5674
转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML,定义转义字符串的原因有两个:第一个原因是像“”这类符号已经用来表示HTML标签,因此就不能直接当作文本的符号来使用。为了在HTML文档使用这些符号,就需要定义它的转义字符串。当解释程序遇到这类字符串时就把它解释为真实的字符。在输入转义字符串时,要严格遵守字母大小写的规则。第二个原因是,有些字符在ASCII字符集没有定义,因此需要使用转义字符串来表示。表18-3是其的几个转义字符串
html转义
qq_24581629的博客
05-23 5594
html转义 html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为< , >转义为 >, 像“<script>alert('test');</script>”这段字符会转义为:“<script>alert('test');</script>”。再显示时页面会将<解析为< , >解析为>, 从而还原了用户的真实输入,最终显示在页
Flex 最全的换行 制表符 回车 空格 特殊符号
帆软爱好者的专栏
04-02 2565
<br />出自:http://www.myflexhero.com/share/flex-hero-flex4/flex-hero-coding-techniques/<br />字符 十进制字符编号 实体名字 说明<br />— — 未使用Unused<br />—  — 未使用Unused<br />—  — 未使用Unused<br />—  — 未使用Unused<br />—  — 未使用Unused<br />—  — 未使用Unu
使用Js让Html特殊字符不被转义
10-26
怎么让<textarea></textarea>之间包含的文本原封不动的显示出来呢?下面小编就为大家介绍一下具体的实现方法吧
JS实现Html转义和反转义html编码和解码)的方法总结
全栈小菜鸟
06-09 3699
2)、用正则表达式实现html转义;1)、去掉字符串html标签。
HTML常见转义字符
一丛小溪的博客
10-14 6246
HTML常见的转义字符 实际字符 转义字符 单引号(') &#039; 双引号(") &quot; 小于号(<) &lt; 大于号(>) &gt; 与(&) &amp; 空格 &nbsp;
常见html转义字符总结
qq_59761601的博客
03-06 787
【代码】常见html转义字符总结。
html
CSDN_HCX的博客
11-26 930
一、html简介 1、html是什么 Html是用来描述网页的一种语言。 (1)HTML 指的是超文本标记语言 (Hyper Text Markup Language) (2)HTML 不是一种编程语言,而是一种标记语言(markup language,标记语言是一套标记标签(markup tag)); (3)HTML 使用标记标签来描述网页 超文本 标记 语言 语言: 人与计
实现HTML标签的转义、反转义的几种方法
huanggang0101的博客
08-15 5657
方法一:通过正则表达式进行替换 1,HTML 标签的转义方法 //HTML标签转义( < -----> &lt;) function html2Escape(sHtml) { return sHtml.replace(/[<>&"]/g,function(c){ return {'<':'&lt;','>':'&g...
html学习笔记3
manbaforever的博客
04-17 1067
1.javascript的使用。4.局部变量和全局变量的使用。5.条件判断结合比较运算符。2.变量的使用和数据类型。7.标签属性的获取和设置。9.数组的定义和数组操作。3.函数的定义和调用。
HTML转义字符大全<转>
热门推荐
主要记录一些问题处理记录,部分是作为知识库使用
08-02 2万+
为什么要用转义字符串HTML<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页显示这些符号,该怎么办呢? 这就要说到HTML转义字符串(Escape Sequence)了。 转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML,定义转义字符串的原因有两个:第一个原因是像“<”和“>”这类符号已经用来表示HTM..
解析html格式的字符串有几个html元素,并统计各个元素的个数
最新发布
qq_34510843的博客
11-17 148
解析html格式的字符串有几个html元素,并统计各个元素的个数,字符串如下。字符串 indexOf 查找元素符号 “”转化成 dom 树后进行深度遍历。解答方法有三种,分别为。
html字符串转义
08-09
要将 HTML 字符串转义,你可以使用 Python 的 `html` 模块的 `unescape` 函数。下面是一个示例代码: ```python import html html_string = "<p>Hello, &#9733;world&#9733;</p>" unescape_string = html.unescape(html_string) print(unescape_string) ``` 输出结果: ``` <p>Hello, ★world★</p> ``` 在这个示例,我们使用 `html.unescape` 函数将 HTML 字符串 `html_string` 进行反转义,并将结果存储在 `unescape_string` 变量。最后,我们打印出反转义后的字符串

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值