问题标签 [html-encode]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
6666 浏览

asp.net - HTML编码服务器端与客户端

我想在我的页面上启用评论发布,所以我需要在发送帖子并将其插入数据库之前执行一些 html 编码。

理想的一面是什么?
服务器端(我使用 asp.net)还是客户端(javascript)?

0 投票
2 回答
1162 浏览

c# - 用双引号包裹 ASP.NET 控件

我正在通过博客文章在中继器中工作,并且我在底部显示了一个 ShareThis JavaScript 片段。帖子的标题和 URL 正在发送到 JS。在一个测试用例中,帖子的标题有一个单引号,例如

马克的测试帖

由于在发送到 ShareThis 时需要保留该单引号,因此我需要将该 JavaScript 字符串用双引号括起来,但是该字符串是通过 Literal 绑定的,我无法将该文本用双引号括起来:

这是我想要的但不起作用:

我只能用单引号将文字括起来,如下所示:

但这会导致糟糕的前端代码:

如何正确编码或以某种方式将控件用双引号括起来?我知道,HttpUtility.HtmlEncodeServer.HtmlEncode我不明白这些对我有什么帮助。

0 投票
8 回答
13164 浏览

php - 无法使用 str_replace 删除特殊字符

我对 str_replace 有一个非常微不足道的问题。

我有一个带有 En Dash 字符( - )的字符串,如下所示:

html输出是

我想做这个:

我试图用 html_entity_decode 解析字符串,用 htmlspecialchars 解析要删除的字符,但没有任何结果。

我做错了什么?

-EDIT- 这是我的脚本的完整代码:

没有人工作。基本上问题在于,在数据库中,破折号存储为“减号”(我用减号键输入值),但出于奇怪的原因,输出是 –

我在 Wordpress 上运行,字符集是 UTF-8,数据库排序规则也是如此。

0 投票
1 回答
2036 浏览

javascript - 在 4.0 中向 ASP.NET 控件添加客户端 onload 函数对我的引号进行编码

我正在尝试将 Javascript 函数添加到 asp:Panel 的 onLoad 事件中。它是这样的:

我将此功能附加到其他控件(复选框和按钮),它工作正常。但是在 PagesPanel(我的 asp:Panel 控件)中,它对函数进行了 HTMLEncode。输出源如下所示:

我尝试在作业中对其进行 Server.HTMLDecode,但我得到了同样的结果。我之前在.net 4.0中遇到过这个问题。当然有办法逃脱角色或其他什么?

0 投票
3 回答
7598 浏览

c# - Fortify 和 AntiXSS

我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们在任何地方都使用 AntiXSS 来清理 HTML 输出。我们还验证输入。不幸的是,他们最近更改了 Fortify 使用的“模板”,现在它将我们所有的 AntiXSS 调用标记为“验证不良”。这些调用正在执行诸如 AntiXSS.HTMLEncode(sEmailAddress) 之类的操作。

任何人都确切地知道什么会满足 Fortify?它标记的很多内容都是输出值来自数据库,而根本不是来自用户,所以如果 HTMLEncode 不够安全,我们不知道是什么!

0 投票
1 回答
5039 浏览

javascript - 不依赖innerHTML的html_entity_decode的javascript等价物?

我正在寻找 PHP 的html_entity_decode的 javascript 版本。我找到了这个:

但是,我不能使用它,因为我需要为 FBML/FBJS Facebook 画布应用程序编写此代码,并且他们禁用了 innerHTML 和任何类似的东西(我知道这很疯狂)。

有没有其他方法可以做到这一点,而不是把绳子粘在一个元素上然后再把它拉回来?请确保只使用FBJS中允许的功能

0 投票
3 回答
2942 浏览

xml - 如何在 Erlang 中对字符串进行 XML 编码?

我有一个 erlang 字符串,其中可能包含 & " < 等字符:

是否有一个 Erlang 函数可以解析字符串并编码所有需要的 HTML/XML 实体,例如:

?

我的用例是来自用户输入的相对较短的字符串。xmlencode 函数的输出字符串将是 XML 属性的内容:

最终的 XML 将通过网络适当地发送。

0 投票
1 回答
253 浏览

javascript - How to encode a value that is rendered to page and finally used in URL?

I have a script that is rendered to an html page as a part of a tracking solution (etracker).

It is something like this:

This will be transmitted to the server of the tracking solution by some javascript that I don't control. It will end up as 2 items. The items are separated by a semicolon in the source (after '100045').

I obviously need to Html-encode and Javascript-encode the values that will be rendered. I first Html-encode and after that remove single quotes.

This works, but I have an issue with special characters in french and german e.g. umlaut (ü, ä...). They render something like {. The output of the script when using lars ümlaut as the article is:

The semicolon is evaluated as an item separator by the tracking solution.

The support of the tracking solution told me to url-encode the values. Can this work? I guess URL-encoding doesn't stop any xss-atacks. Is it ok to first url-encode and html-encode, then javascript-encode after it?

0 投票
5 回答
26419 浏览

asp.net - 在 Razor 视图中发出未编码的字符串

正如 ScottGu 在他的博客文章中所说的“默认情况下,使用 @ 块发出的内容会自动进行 HTML 编码,以更好地防止 XSS 攻击场景”。我的问题是:如何输出非 HTML 编码的字符串?

为了简单起见,请坚持这个简单的案例:

0 投票
2 回答
705 浏览

asp.net - 是否可以在 ASP.NET 4 中默认打开 HTML 编码?

在 ASP.NET 4 中,我们可以使用 new<%: ... %>运算符来输出 HTML 编码的字符串。是否可以配置ASP.NET 4(在 web.config 中)以便<%= ... %>操作员也可以对字符串进行 HTML 编码?