问题标签 [html-escape-characters]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 用于 XSS 预防的 Apache Commons Text StringEscapeUtils vs JSoup?
我想清理用户输入以帮助防止 XSS 攻击,我们不一定关心 HTML 白名单,因为我们的用户不需要发布任何 HTML / CSS。
盯着那里的替代品,哪个会更好?[Apache Commons Text 的 StringEscapeUtils] [1] 还是 [JSoup Cleaner][2]?
谢谢!
更新:
在为它和 Apache Commons Text 编写了一些单元测试之后,我选择了 JSoup。
我喜欢 JSoup 不会与单引号混淆的方式(即“Alan's mom”没有改变,而 Apache Commons Text 将其变成“Alan's mom”)。
白名单根本不是问题。它不需要任何配置,相反,它们包含一些内置选项,如果我们选择允许 HTML 标记的某些子集,它们可能会派上用场。[1]:https ://commons.apache.org/proper/commons-text/apidocs/org/apache/commons/text/StringEscapeUtils.html [2]:http: //jsoup.org/cookbook/cleaning-html /whitelist-sanitizer
android - Android WebView 不能显示版权或商标符号?
当我在网络浏览器中显示项目符号、版权符号、商标标志时,它们看起来不错。
但是当我使用 Android WebView 时,我得到“三角形内的问号”:
我应该使用不同的编码吗?
我是否应该自己搜索/替换某些字符... 1×1?
jquery - 将jsp var传递给js函数时转义字符
说我有一些 jsp var foo
我有以下js
这显然会产生错误
因为声明最终是
但是,我不想只用双引号将参数 ${foo} 括起来,因为 foo 的值也可能在其字符串中包含一个双引号,这会导致同样的问题。假设 foo 可以是任何字符串。我只将它设置为 foo 的 bar,这样示例就很清楚了。目前,我正在解决这样的问题:
在 SomeFunction 中:
这个解决方案似乎有效 - 假设我没有错过一些极端情况。但是,我不相信这是最好的解决方案。任何替代方案或改进建议?使用那个临时 div 对我来说似乎有点 hacky,我更喜欢不需要它的解决方案。
html - html将未转义的字符呈现为转义
我在标签中渲染这行代码以<pre>在屏幕上显示为普通文本:
但是它在多个浏览器中被错误呈现为:
由于美分符号的转义码是¢而不是¢,我不明白为什么会发生这种情况,而且似乎没有任何方法可以防止它。任何人都可以帮忙吗?
另外,我的文档类型:
如果有任何区别,这行代码将通过 Javascript 的 innerHTML 方法添加到文档中。
javascript - 如何在 JavaScript 中转义来自 PHP 的文本?
我正在使用 jPlayer 显示一些视频,并在 php foreach 语句中动态创建播放列表:
和$val->getDes()例子是I have a one-hour (approximately) solo musical revue called "Manhattan With A Twist". The entire...
我得到的错误是
并指向'字符串的开头。
我可以做这个:title: "<?php echo htmlspecialchars($val->getTitle());?>",
我会得到同样的错误,但用"而不是'.
我不确定这里发生了什么。是抱怨'没有逃脱还是什么?
有任何想法吗?
php - 在 Internet Explorer 中转义/剥离 html 标签
我已经实现了一个模板(在 html 和 php 中),通过它我可以编辑一些(输入和文本区域)中的文本。
编辑完文本后,我将其存储在 mysql 数据库中,以后可以调用此模板。现在,当我在 Internet Explorer 中调用存储在 mysqldatabase 中的文本时,将使用其 html 标签调用该文本,我可以在 textarea 中看到类似这样的内容:
如何告诉 Internet Explorer<p></p>和其他 html 标签是 html 标签?
它适用于火狐。
html - 在字符串 (PowerShell) 中转义 HTML 特定字符的最佳方法是什么?
我正在使用 PowerShell 脚本生成一些简单的 HTML,并且我想转义结果 HTML 中使用的字符串(因为它们可以包含一些特定于 HTML 的符号)。
例如:
应转换为以下内容:
是否有任何内置功能?
php - 使用 HTMLENTITIES 转义
我试图在打开购物车网站的表单中转义一些 HTML - 它是带有会话数据的自定义编码,这让我很失望。目前我有:
我试图使用:
但这并没有奏效。我认为htmlentities应该在变量之前开始。
这是在他们的 MVC 下使用 PHP 的开放式购物车仅供参考。
python - Django输出word文件(.doc),内容中只显示原始html
我正在使用 Django 1.4 编写一个 Web 应用程序。我希望我的一个视图使用以下代码输出 mirosoft word 文档:
然后,我可以成功下载file.doc,但是当我打开.doc文件时,我只找到这样的原始html
不是标题1 标题。
我是 python 和 Django 的新手,我知道这可能是 html 转义的一些问题,有人可以帮我解决这个问题吗?谢谢 !:)
templates - 在 scala 模板中解码 html
我正在尝试制作一个根据路线表现不同的标签,但是当我尝试在一个@{ ... }块中呈现 html 时,我似乎无法正确插入我的变量。
当我加载页面时,我的 Firebug 控制台中出现语法错误,其中显示脚本标记的内容评估为:
alert("/accounts");
现在,我已经尝试过像@Html{ ... }and @Html( ... )and@Html({ ... })围绕整个街区的事情。我也尝试过alert(@Html("{bar}"));其他类似的事情,但一切都会产生各种错误。
这样做的正确方法是什么?
编辑
更新以显示为简单起见尝试仅使用一个变量,并显示该变量的来源。