众所周知页面上的字符内容通常都需要进行HTML转义才能正确显示,尤其对于Input,Textarea提交的内容,更是要进行转义以防止javascript注入攻击。
通常的HTML转义主要是针对内容中的"<",">","&",以及空格、单双引号等。但其实还有很多字符也需要进行转义。具体的可以参考
这篇文章。
** 1、HTML转义
参考上面的提到的文章,基本上可以确定以下的转义的范围和方式。
1)对"\""、"&"、"'"、"<"、">"、空格(0x20)、0x00到0x20、0x7F-0xFF
以及0x0100-0x2700的字符进行转义,基本上就覆盖的比较全面了。
用javascript的正则表达式可以写为:
this.REGX_HTML_ENCODE = /"|&|'|<|>|[\x00-\x20]|[\x7F-\xFF]|[\u0100-\u2700]/g;
2)为保证转义结果对浏览器的无差别,转义编码为实体编号,而不用实体名称。
3)空格(0x20)通常转义为“ ”也就是“ ”。
转义的代码非常简单:
this.encodeHtml = function(s){
return (typeof s != "string") ? s :
s.replace(this.REGX_HTML_ENCODE,
function($0){
var c = $0.charCodeAt(0), r = ["&#"];
c = (c == 0x20) ? 0xA0 : c;
r.push(c); r.push(";");
return r.join("");
});
};
** 2、反转义
既然有转义,自然需要反转义。
1) 对“&#num;”实体编号的转义,直接提取编号然后fromCharCode就可以得到字符。
2) 对于诸如“<”,需要建立一张如下的表来查询。
this.HTML_DECODE = {
"<" : "<",
">" : ">",
"&" : "&",
" ": " ",
""": "\"",
"©": "©"
// Add more
};
由此我们可以有反转义的正则表达式:
this.REGX_HTML_DECODE = /&\w+;|&#(\d+);/g;
反转的代码也很简单,如下:
this.decodeHtml = function(s){
return (typeof s != "string") ? s :
s.replace(this.REGX_HTML_DECODE,
function($0,$1){
var c = this.HTML_ENCODE[$0]; // 尝试查表
if(c === undefined){
// Maybe is Entity Number
if(!isNaN($1)){
c = String.fromCharCode(($1 == 160) ? 32:$1);
}else{
// Not Entity Number
c = $0;
}
}
return c;
});
};
** 3、一个有意思的认识
其实在用正则表达式转义之前,我一直都是用遍历整个字符串,逐个比较字符的方式。直到有一天,看到一篇文章说,javascript正则表达式是C实现的,比自己用javascript遍历字符要快,于是我就试着改写成上面这种方式。虽然代码看起来的确显得神秘而又牛叉,但遗憾的是,在我的Chrome 11 (FreeBSD 64 9.0)上,遍历字符转义/反转的方式要比上面正则表达式的代码快2到3倍(字符串长度越长越明显)。其实,想想也能明白为什么。
** 4、完整版本的代码
$package("js.lang"); // 没有包管理时,也可简单写成 js = {lang:{}};
js.lang.String = function(){
this.REGX_HTML_ENCODE = /"|&|'|<|>|[\x00-\x20]|[\x7F-\xFF]|[\u0100-\u2700]/g;
this.REGX_HTML_DECODE = /&\w+;|&#(\d+);/g;
this.REGX_TRIM = /(^\s*)|(\s*$)/g;
this.HTML_DECODE = {
"<" : "<",
">" : ">",
"&" : "&",
" ": " ",
""": "\"",
"©": ""
// Add more
};
this.encodeHtml = function(s){
s = (s != undefined) ? s : this.toString();
return (typeof s != "string") ? s :
s.replace(this.REGX_HTML_ENCODE,
function($0){
var c = $0.charCodeAt(0), r = ["&#"];
c = (c == 0x20) ? 0xA0 : c;
r.push(c); r.push(";");
return r.join("");
});
};
this.decodeHtml = function(s){
var HTML_DECODE = this.HTML_DECODE;
s = (s != undefined) ? s : this.toString();
return (typeof s != "string") ? s :
s.replace(this.REGX_HTML_DECODE,
function($0,$1){
var c = HTML_DECODE[$0];
if(c == undefined){
// Maybe is Entity Number
if(!isNaN($1)){
c = String.fromCharCode(($1==160)?32:$1);
}else{
c = $0;
}
}
return c;
});
};
this.trim = function(s){
s = (s != undefined) ? s : this.toString();
return (typeof s != "string") ? s :
s.replace(this.REGX_TRIM, "");
};
this.hashCode = function(){
var hash = this.__hash__, _char;
if(hash == undefined || hash == 0){
hash = 0;
for (var i = 0, len=this.length; i < len; i++) {
_char = this.charCodeAt(i);
hash = 31*hash + _char;
hash = hash & hash; // Convert to 32bit integer
}
hash = hash & 0x7fffffff;
}
this.__hash__ = hash;
return this.__hash__;
};
};
js.lang.String.call(js.lang.String);
在实际的使用中可以有两种方式:
1)使用js.lang.String.encodeHtml(s)和js.lang.String.decodeHtml(s)。
2)还可以直接扩展String的prototype
-
js.lang.String.call(String.prototype);
// 那么
var str = "<B>&'\"中国</B>abc def";
var ec_str = str.encodeHtml();
document.write(ec_str);
document.write("<br><br>");
var dc_str = ec_str.decodeHtml();
document.write(dc_str);
分享到:
相关推荐
在网页开发中,正确使用HTML转义字符和JavaScript转义符对于防止XSS(跨站脚本攻击)至关重要。XSS攻击常常利用不转义的特殊字符注入恶意代码,影响用户的安全。因此,开发者在插入用户输入的数据到网页时,应确保对...
本文将详细讲解如何在JavaScript中对HTML进行反转义。 首先,我们要了解JavaScript中的几个编码和解码函数。`encodeURI()` 和 `decodeURI()` 用于编码和解码整个URI(统一资源标识符),而 `encodeURIComponent()` ...
通过理解Spring MVC的`@ResponseBody`工作原理,以及如何配置Jackson进行HTML转义,我们可以有效地解决描述中提到的问题,确保Web应用的安全性和正确性。在实际开发中,应始终将数据安全作为优先考虑的因素,避免因...
要对HTML进行反转义,我们需要使用其他方法。 一种常见的解决方案是利用DOM元素的`innerHTML`属性。这个属性允许我们将HTML字符串插入到元素中,并由浏览器自动解析为DOM结构。当我们读取`innerHTML`的值时,浏览器...
在编程实践中,熟练掌握HTML转义字符串的使用对于编写安全、可读性强的代码至关重要。 此外,了解并使用一些工具可以帮助我们更有效地处理HTML转义。例如,有一些在线的HTML实体转换器可以方便地将特殊字符转换为其...
### 浅谈HTML转义及防止JavaScript注入攻击的方法 #### 一、HTML转义的概念 在Web开发中,用户输入的数据经常会直接展示在网页上,例如在评论区、聊天室等场景。如果用户输入的数据中包含HTML标签或者JavaScript...
在字符串中插入这些特殊字符时,必须使用反斜杠进行转义,否则JavaScript引擎会将其解释为控制字符而非文本内容。 "html转义字符表"和"HTML语言特殊字符对照表(ISO Latin-1字符集) - 来源:嘻嘻网 114.xixik....
在HTML文档中,为了正确显示某些特殊字符或符号,需要使用到转义字符。这些转义字符通常由一个“&”字符开头,后面跟着表示该字符的代码或者名称,最后以一个“;”结束。这种方式可以确保HTML解析器能够正确地解释并...
本文将详细介绍如何使用Perl对策来有效地进行HTML转义,以防止XSS攻击。 Perl是一种由Larry Wall设计的高级编程语言,具有C语言的强大力量和灵活性,同时具备awk、sed等脚本语言的便捷性。Perl的灵活性使其成为多...
HTML转义和防止JavaScript注入攻击是Web开发中的关键安全措施,尤其在处理用户输入时显得尤为重要。当用户可以在页面上输入内容,例如在一个聊天应用中,他们可能无意或有意地输入包含JavaScript代码的字符串,这...
- 使用JavaScript的内置方法,可以创建一个HTML元素(如`div`),将待转义的字符串设置为该元素的`innerText`或`textContent`,然后读取其`innerHTML`。这种方法利用了浏览器的内部转换器,例如: ```javascript ...
下面通过几个具体的示例来展示JavaScript中的转义序列如何使用: ##### 示例1:使用`\n`进行换行 ```javascript let str1 = "第一行\n第二行"; console.log(str1); // 输出: // 第一行 // 第二行 ``` ##### 示例...
为了防止这种情况,就需要对输出的HTML内容进行转义处理,确保其不会被当作可执行的JavaScript代码。 在PHP中,可以使用内置的函数来转义输出内容,使其安全地嵌入到JavaScript代码中。本文分享了作者在一个个人...
首先,HTML转义的目的是防止XSS(Cross Site Scripting)攻击,这是一种恶意用户注入HTML或JavaScript代码到网页上,以执行未经授权的操作的攻击方式。例如,用户输入`<script>alert('XSS');</script>`,如果不进行...
HTML转义字符表通常包含所有可用的转义序列和对应的字符,便于开发者查阅和使用。`.mht`文件可能是一个包含这种表格的单一网页文件,其中列出了各种字符及其转义形式。 六、工具和资源 在开发过程中,有许多在线...
这个问题涉及到JavaScript如何处理这些转义字符以及是否需要手动转义反斜杠。 首先,我们来理解一下JavaScript中的转义字符。以下是一些常见的JavaScript转义序列: - \n:换行 - \t:制表符 - \":双引号 - \':...