使用jQuery转义HTML字符串

javascript jquery string escaping

605896 观看

24回复

5165 作者的声誉

有没有人知道在jQuery中从字符串中转义HTML的简单方法?我需要能够传递任意字符串并将其正确转义以便在HTML页面中显示(防止JavaScript / HTML注入攻击)。我确信可以扩展jQuery来实现这一点,但我目前还不了解框架来完成这个任务。

作者: Page 的来源 发布者: 2008 年 8 月 24 日

回应 (24)


59

21341 作者的声誉

如果你正在逃避HTML,那么我只能想到三个非常必要的东西:

html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

根据您的使用情况,您可能还需要执行类似的"操作&quot;。如果列表足够大,我只使用一个数组:

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]
for(var item in findReplace)
    escaped = escaped.replace(findReplace[item][0], findReplace[item][1]);

encodeURIComponent() 只会为URL而不是HTML转义它。

作者: tghw 发布者: 24.08.2008 05:54

415

25969 作者的声誉

决定

由于您使用的是jQuery,因此您只需设置元素的text属性即可:

// before:
// <div class="someClass">text</div>
var someHtmlString = "<script>alert('hi!');</script>";

// set a DIV's text:
$("div.someClass").text(someHtmlString);
// after: 
// <div class="someClass">&lt;script&gt;alert('hi!');&lt;/script&gt;</div>

// get the text in a string:
var escaped = $("<div>").text(someHtmlString).html();
// value: 
// &lt;script&gt;alert('hi!');&lt;/script&gt;
作者: travis 发布者: 24.08.2008 05:22

179

11467 作者的声誉

$('<div/>').text('This is fun & stuff').html(); // "This is fun &amp; stuff"

资料来源:http//debuggable.com/posts/encode-html-entities-with-jquery : 480f4dd6-13cc-4ce9-8071-4710cbdd56cb

作者: Henrik N 发布者: 17.12.2008 10:28

5

456 作者的声誉

如果你正在使用正则表达式路线,那么上面的tghw例子就会出错。

<!-- WON'T WORK -  item[0] is an index, not an item -->

var escaped = html; 
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g,"&gt;"], [/"/g,
"&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(item[0], item[1]);   
}


<!-- WORKS - findReplace[item[]] correctly references contents -->

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(findReplace[item[0]], findReplace[item[1]]);
}
作者: Wayne 发布者: 21.05.2011 09:18

15

1339 作者的声誉

escape()并且unescape()旨在编码/解码URL的字符串,而不是HTML。

实际上,我使用以下代码片段来完成不需要任何框架的技巧:

var escapedHtml = html.replace(/&/g, '&amp;')
                      .replace(/>/g, '&gt;')
                      .replace(/</g, '&lt;')
                      .replace(/"/g, '&quot;')
                      .replace(/'/g, '&apos;');
作者: NicolasBernier 发布者: 25.05.2012 12:39

30

2038 作者的声誉

这是一个干净,清晰的JavaScript函数。它会将诸如“少数<许多”的文本转换为“少数几个”。

function escapeHtmlEntities (str) {
  if (typeof jQuery !== 'undefined') {
    // Create an empty div to use as a container,
    // then put the raw text in and get the HTML
    // equivalent out.
    return jQuery('<div/>').text(str).html();
  }

  // No jQuery, so use string replace.
  return str
    .replace(/&/g, '&amp;')
    .replace(/>/g, '&gt;')
    .replace(/</g, '&lt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&apos;');
}
作者: intrepidis 发布者: 30.05.2012 11:46

1

35 作者的声誉

function htmlEscape(str) {
    var stringval="";
    $.each(str, function (i, element) {
        alert(element);
        stringval += element
            .replace(/&/g, '&amp;')
            .replace(/"/g, '&quot;')
            .replace(/'/g, '&#39;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(' ', '-')
            .replace('?', '-')
            .replace(':', '-')
            .replace('|', '-')
            .replace('.', '-');
    });
    alert(stringval);
    return String(stringval);
}
作者: Katharapu Ramana 发布者: 27.06.2012 03:15

24

6296 作者的声誉

尝试Underscore.string lib,它适用于jQuery。

_.str.escapeHTML('<div>Blah blah blah</div>')

输出:

'&lt;div&gt;Blah blah blah&lt;/div&gt;'
作者: Nikita Koksharov 发布者: 20.08.2012 07:36

556

8372 作者的声誉

还有来自mustache.js的解决方案

var entityMap = {
  '&': '&amp;',
  '<': '&lt;',
  '>': '&gt;',
  '"': '&quot;',
  "'": '&#39;',
  '/': '&#x2F;',
  '`': '&#x60;',
  '=': '&#x3D;'
};

function escapeHtml (string) {
  return String(string).replace(/[&<>"'`=\/]/g, function (s) {
    return entityMap[s];
  });
}
作者: Tom Gruner 发布者: 20.08.2012 08:21

0

8615 作者的声誉

这个答案提供了jQuery和普通的JS方法,但这是最短的而不使用DOM:

unescape(escape("It's > 20% less complicated this way."))

转义字符串: It%27s%20%3E%2020%25%20less%20complicated%20this%20way.

如果逃脱的空间打扰你,请尝试:

unescape(escape("It's > 20% less complicated this way.").replace(/%20/g, " "))

转义字符串: It%27s %3E 20%25 less complicated this way.

不幸的是,该escape()函数在JavaScript 1.5版已弃用encodeURI()或者encodeURIComponent()是替代品,但是他们忽略了',所以最后一行代码会变成这样:

decodeURI(encodeURI("It's > 20% less complicated this way.").replace(/%20/g, " ").replace("'", '%27'))

所有主流浏览器仍然支持短代码,并且鉴于旧网站的数量,我怀疑这将很快改变。

作者: Cees Timmerman 发布者: 18.09.2012 08:45

4

49 作者的声誉

这是一个很好的安全例子......

function escapeHtml(str) {
    if (typeof(str) == "string"){
        try{
            var newStr = "";
            var nextCode = 0;
            for (var i = 0;i < str.length;i++){
                nextCode = str.charCodeAt(i);
                if (nextCode > 0 && nextCode < 128){
                    newStr += "&#"+nextCode+";";
                }
                else{
                    newStr += "?";
                }
             }
             return newStr;
        }
        catch(err){
        }
    }
    else{
        return str;
    }
}
作者: amrp 发布者: 31.10.2012 01:08

36

933 作者的声誉

我写了一个很小的功能来做到这一点。它只是逃脱"&<>(但通常这就是你所需要的是这样)。它比先前提出的解决方案稍微优雅一点,因为它只使用一个 .replace()来完成所有转换。(编辑2:降低代码复杂性使得功能更小更整洁,如果您对原始代码感到好奇,请参阅此答案的结尾。)

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&<>]/g, function (a) {
        return { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' }[a];
    });
}

这是普通的Javascript,没有使用jQuery。

逃离/'

编辑以响应mklement的评论。

上述功能可以轻松扩展为包含任何字符。要指定要转义的更多字符,只需将它们插入正则表达式中的字符类(即内部/[...]/g)和作为chr对象中的条目。(编辑2:也以同样的方式缩短了这个功能。)

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&'\/<>]/g, function (a) {
        return {
            '"': '&quot;', '&': '&amp;', "'": '&#39;',
            '/': '&#47;',  '<': '&lt;',  '>': '&gt;'
        }[a];
    });
}

请注意以上&#39;对撇号的使用(&apos;可能已使用符号实体- 它以XML格式定义,但最初未包含在HTML规范中,因此可能不受所有浏览器支持。请参阅:维基百科有关HTML字符编码的文章)。我还记得在某处读取使用十进制实体比使用十六进制更广泛支持,但我现在似乎无法找到它的来源。(并且不存在很多不支持十六进制实体的浏览器。)

注意:添加/'转义转义字符列表并不是那么有用,因为它们在HTML中没有任何特殊含义,也不需要转义。

原始escapeHtml功能

编辑2:原始函数使用变量(chr)来存储.replace()回调所需的对象。这个变量还需要一个额外的匿名函数来限定它,使函数(不必要地)变得更大更复杂。

var escapeHtml = (function () {
    'use strict';
    var chr = { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' };
    return function (text) {
        return text.replace(/[\"&<>]/g, function (a) { return chr[a]; });
    };
}());

我还没有测试过哪两个版本更快。如果您这样做,请随时在此处添加有关它的信息和链接。

作者: zrajm 发布者: 14.11.2012 12:39

15

1358 作者的声誉

我已经增强了mustache.js示例将escapeHTML()方法添加到字符串对象。

var __entityMap = {
    "&": "&amp;",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
};

String.prototype.escapeHTML = function() {
    return String(this).replace(/[&<>"'\/]/g, function (s) {
        return __entityMap[s];
    });
}

这样它很容易使用 "Some <text>, more Text&Text".escapeHTML()

作者: Jeena 发布者: 22.11.2012 10:20

2

362 作者的声誉

(function(undefined){
    var charsToReplace = {
        '&': '&amp;',
        '<': '&lt;',
        '>': '&gt;'
    };

    var replaceReg = new RegExp("[" + Object.keys(charsToReplace).join("") + "]", "g");
    var replaceFn = function(tag){ return charsToReplace[tag] || tag; };

    var replaceRegF = function(replaceMap) {
        return (new RegExp("[" + Object.keys(charsToReplace).concat(Object.keys(replaceMap)).join("") + "]", "gi"));
    };
    var replaceFnF = function(replaceMap) {
        return function(tag){ return replaceMap[tag] || charsToReplace[tag] || tag; };
    };

    String.prototype.htmlEscape = function(replaceMap) {
        if (replaceMap === undefined) return this.replace(replaceReg, replaceFn);
        return this.replace(replaceRegF(replaceMap), replaceFnF(replaceMap));
    };
})();

没有全局变量,一些内存优化。用法:

"some<tag>and&symbol©".htmlEscape({'©': '&copy;'})

结果是:

"some&lt;tag&gt;and&amp;symbol&copy;"
作者: Gheljenor 发布者: 13.05.2013 11:21

0

11054 作者的声誉

function htmlDecode(t){
   if (t) return $('<div />').html(t).text();
}

奇迹般有效

作者: d-_-b 发布者: 03.06.2013 02:48

26

1130 作者的声誉

经过最后的测试,我可以推荐最快且完全跨浏览器兼容的原生javaScript(DOM)解决方案:

function HTMLescape(html){
    return document.createElement('div')
        .appendChild(document.createTextNode(html))
        .parentNode
        .innerHTML
}

如果你重复多次,你可以用一次准备好的变量来做:

//prepare variables
var DOMtext = document.createTextNode("test");
var DOMnative = document.createElement("span");
DOMnative.appendChild(DOMtext);

//main work for each case
function HTMLescape(html){
  DOMtext.nodeValue = html;
  return DOMnative.innerHTML
}

看看我的最终性能比较堆栈问题)。

作者: Saram 发布者: 09.07.2013 10:44

34

36525 作者的声誉

很容易使用下划线:

_.escape(string) 

Underscore是一个实用程序库,它提供了本机js不提供的许多功能。还有lodash与下划线相同的API,但被重写为更高性能。

作者: chovy 发布者: 12.09.2013 05:30

10

1071 作者的声誉

如果你有underscore.js,请使用_.escape(比上面发布的jQuery方法更有效):

_.escape('Curly, Larry & Moe'); // returns: Curly, Larry &amp; Moe
作者: ronnbot 发布者: 04.09.2014 05:15

3

5406 作者的声誉

您可以使用vanilla js轻松完成。

只需在文档中添加文本节点即可。它将被浏览器转义。

var escaped = document.createTextNode("<HTML TO/ESCAPE/>")
document.getElementById("[PARENT_NODE]").appendChild(escaped)
作者: raam86 发布者: 29.01.2015 04:34

-2

972 作者的声誉

如果要将此信息保存在数据库中,使用客户端脚本转义HTML是错误的,这应该在服务器中完成。否则很容易绕过您的XSS保护。

为了明确我的观点,这里有一个使用其中一个答案的例子:

假设您正在使用函数escapeHtml从您的博客中的评论中转义Html,然后将其发布到您的服务器。

var entityMap = {
    "&": "&amp;",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
  };

  function escapeHtml(string) {
    return String(string).replace(/[&<>"'\/]/g, function (s) {
      return entityMap[s];
    });
  }

用户可以:

  • 编辑POST请求参数并使用javascript代码替换注释。
  • 使用浏览器控制台覆盖escapeHtml函数。

如果用户将此代码段粘贴到控制台中,则会绕过XSS验证:

function escapeHtml(string){
   return string
}
作者: Kauê Gimenes 发布者: 06.03.2015 06:55

-2

7 作者的声誉

所有的解决方案是无用的,如果你不防止再次逃逸,如大多数解决方案将继续逃逸&&amp;

escapeHtml = function (s) {
    return s ? s.replace(
        /[&<>'"]/g,
        function (c, offset, str) {
            if (c === "&") {
                var substr = str.substring(offset, offset + 6);
                if (/&(amp|lt|gt|apos|quot);/.test(substr)) {
                    // already escaped, do not re-escape
                    return c;
                }
            }
            return "&" + {
                "&": "amp",
                "<": "lt",
                ">": "gt",
                "'": "apos",
                '"': "quot"
            }[c] + ";";
        }
    ) : "";
};
作者: C Nimmanant 发布者: 26.05.2015 07:52

1

565 作者的声誉

2个简单的方法,需要NO JQUERY ......

您可以像这样编码字符串中的所有字符

function encode(e){return e.replace(/[^]/g,function(e){return"&#"+e.charCodeAt(0)+";"})}

或者只是针对主角担心&,换行符<>"'这样的:

function encode(r){
return r.replace(/[\x26\x0A\<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
}

var myString='Encode HTML entities!\n"Safe" escape <script></'+'script> & other tags!';

test.value=encode(myString);

testing.innerHTML=encode(myString);

/*************
* \x26 is &ampersand (it has to be first),
* \x0A is newline,
*************/
<p><b>What JavaScript Generated:</b></p>

<textarea id=test rows="3" cols="55"></textarea>

<p><b>What It Renders Too In HTML:</b></p>

<div id="testing">www.WHAK.com</div>

作者: Dave Brown 发布者: 26.07.2015 02:02

32

1442 作者的声誉

我意识到我参加这个派对有多晚了,但我有一个非常简单的解决方案,不需要jQuery。

escaped = new Option(unescaped).innerHTML;

编辑:这不会逃避报价。引用需要转义的唯一情况是,内容是否将内联粘贴到HTML字符串中的属性。我很难想象一个这样做的好例子。

编辑2:如果性能至关重要,最高性能解决方案(约50%)仍然是一系列正则表达式替换。现代浏览器将检测到正则表达式不包含运算符,只包含字符串,并将所有运算符折叠为单个运算。

作者: Adam Leggett 发布者: 01.03.2016 10:55

1

1304 作者的声誉

简单的JavaScript转义示例:

function escapeHtml(text) {
    var div = document.createElement('div');
    div.innerText = text;
    return div.innerHTML;
}

escapeHtml("<script>alert('hi!');</script>")
// "&lt;script&gt;alert('hi!');&lt;/script&gt;"
作者: Andrew Luca 发布者: 11.10.2017 09:52
32x32