Экранирование строк HTML с помощью jQuery

549

Кто-нибудь знает простой способ избежать HTML из строк в jQuery? Мне нужно иметь возможность передать произвольную строку и правильно ее экранировать для отображения на HTML-странице (предотвращая атаки JavaScript/HTML-инъекций). Я уверен, что можно расширить jQuery, чтобы сделать это, но я не знаю достаточно о структуре на данный момент, чтобы выполнить это.

Теги:
string
escaping

24 ответа

379
Лучший ответ

Поскольку вы используете jQuery, вы можете просто установить свойство text элемента:

// before:
// <div class="someClass">text</div>
var someHtmlString = "<script>alert('hi!');</script>";

// set a DIV text:
$("div.someClass").text(someHtmlString);
// after: 
// <div class="someClass">&lt;script&gt;alert('hi!');&lt;/script&gt;</div>

// get the text in a string:
var escaped = $("<div>").text(someHtmlString).html();
// value: 
// &lt;script&gt;alert('hi!');&lt;/script&gt;
  • 56
    Вы упустили момент, когда вам нужен доступ к $ ("div.someClass"). Html (), чтобы получить экранированную версию.
  • 16
    Это небезопасно для браузера, если в вашей строке есть пробелы и символы \ n \ r \ t
Показать ещё 14 комментариев
564

Существует также решение от mustache.js

var entityMap = {
  '&': '&amp;',
  '<': '&lt;',
  '>': '&gt;',
  '"': '&quot;',
  "'": '&#39;',
  '/': '&#x2F;',
  '`': '&#x60;',
  '=': '&#x3D;'
};

function escapeHtml (string) {
  return String(string).replace(/[&<>"'`=\/]/g, function (s) {
    return entityMap[s];
  });
}
  • 32
    Это помогло мне. Благодарю. Кроме того, я не могу поверить, что у JS нет этого натива.
  • 7
    Обратите внимание, что, что любопытно, ' отображается на объект в десятичном формате, тогда как / использует шестнадцатеричный формат.
Показать ещё 17 комментариев
184
$('<div/>').text('This is fun & stuff').html(); // "This is fun &amp; stuff"

Источник: http://debuggable.com/posts/encode-html-entities-with-jquery:480f4dd6-13cc-4ce9-8071-4710cbdd56cb

  • 11
    Как уже упоминалось в ответе выше, это решение не гарантирует сохранение пробелов.
  • 44
    Следует отметить, что это ничего не делает, чтобы избежать одинарных или двойных кавычек. если вы планируете поместить значение в атрибут HTML, это может стать проблемой.
Показать ещё 5 комментариев
58

Если вы ускользаете для HTML, есть только три, о которых я могу думать, что было бы действительно необходимо:

html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

В зависимости от вашего варианта использования вам также может понадобиться сделать такие вещи, как " - &quot;. Если список получился достаточно большим, я бы просто использовал массив:

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]
for(var item in findReplace)
    escaped = escaped.replace(findReplace[item][0], findReplace[item][1]);

encodeURIComponent() будет удаляться только для URL-адресов, а не для HTML.

  • 13
    Это регулярное выражение будет давать странные результаты, если рассматриваемый HTML уже экранировал сущности. Например, выход из «Тома и Джерри» даст «Тома и Джерри»
  • 12
    Пожалуйста, используйте var чтобы объявить item локально; в любом случае, не используйте цикл for … in при циклическом просмотре массива! Вместо этого используйте обычный цикл for . О, и это encodeURIComponent , не escapeURIComponent .
Показать ещё 5 комментариев
35

Я написал небольшую функцию, которая делает это. Он избегает ", &, < и > (но обычно это все, что вам нужно). Он немного более изящный, чем ранее предлагаемые решения, поскольку он использует только один .replace() для выполнения всех преобразований. ( РЕДАКТИРОВАТЬ 2: Уменьшенная сложность кода, делая функцию еще более маленькой и опрятной, если вам интересно узнать исходный код, см. конец этого ответа.)

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&<>]/g, function (a) {
        return { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' }[a];
    });
}

Это простой Javascript, не используемый jQuery.

Сбрасывание / и ' тоже

Изменить в ответ на комментарий mklement.

Вышеуказанная функция может быть легко расширена, чтобы включить любой символ. Чтобы указать больше символов для выхода, просто вставьте их как в класс символов в регулярном выражении (т.е. Внутри /[...]/g), так и в качестве записи в объекте chr. ( ИЗМЕНИТЬ 2: Аналогичным образом укорочена эта функция.)

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&'\/<>]/g, function (a) {
        return {
            '"': '&quot;', '&': '&amp;', "'": '&#39;',
            '/': '&#47;',  '<': '&lt;',  '>': '&gt;'
        }[a];
    });
}

Обратите внимание на приведенное выше использование &#39; для апострофа (вместо этого вместо него можно было использовать символическую сущность &apos; - она ​​определена в XML, но первоначально не была включена в спецификацию HTML и поэтому не может поддерживаться всеми браузерами Смотрите: Статья в Википедии о кодировке символов HTML). Я также вспоминаю, что где-то читал, что использование десятичных сущностей более широко поддерживается, чем использование шестнадцатеричного кода, но я пока не могу найти источник этого. (И не может быть много браузеров, которые не поддерживают шестнадцатеричные сущности.)

Примечание. Добавление / и ' в список экранированных символов не так уж и полезно, поскольку они не имеют особого значения в HTML и не нуждаются в экранировании.

Оригинал escapeHtml Функция

EDIT 2: В исходной функции используется переменная (chr) для хранения объекта, необходимого для обратного вызова .replace(). Эта переменная также нуждалась в дополнительной анонимной функции для ее охвата, что делает функцию (ненужно) немного более крупной и сложной.

var escapeHtml = (function () {
    'use strict';
    var chr = { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' };
    return function (text) {
        return text.replace(/[\"&<>]/g, function (a) { return chr[a]; });
    };
}());

Я не тестировал, какая из двух версий выполняется быстрее. Если вы это сделаете, не стесняйтесь добавлять сюда информацию и ссылки.

  • 0
    Спасибо, что нашли время, @Zrajm. Хорошая мысль о том, что вам не нужно убегать; любая идея, почему и mustache.js и underscore.js делают это? Говоря о последнем: он распознает только числовые объекты (представляющие ' и / ') в верхнем регистре в шестнадцатеричной форме, когда не экранирует. Таким образом, текст ушел в mustache.js - который с любопытством использует смесь гекса. и десятичные форматы - не будут правильно удалены в underscore.js . Интересно, как другие популярные библиотеки справляются с этим.
  • 1
    Нижняя форма случае шестигранной наиболее поддерживается форма, так что это (возможно) форма , что библиотеки должны преобразовать. (Конечно , обе формы должны работать при преобразовании.) - Апострофы ' есть какое - то зарезервированная функция в XML (и , таким образом , XHTML, я полагаю?), Поэтому XML (но не HTML) имеют именованный объект &apos; , Точно в том, почему или каким образом это «зарезервировано», я не знаю. - Косые черты - это особые URL-адреса, но это на самом деле не гарантирует их включение в экранирующий HTML (поскольку URL-кодирование - это нечто совершенно иное).
Показать ещё 3 комментария
33

Достаточно легко использовать подчеркивание:

_.escape(string) 

Underscore - это библиотека утилиты, которая предоставляет множество функций, которые не поддерживает js. Там также lodash, который является тем же API, что и подчеркивание, но был переписан, чтобы быть более эффективным.

30

Я понимаю, как поздно я нахожусь на этой вечеринке, но у меня очень простое решение, которое не требует jQuery.

escaped = new Option(unescaped).innerHTML;

Изменить: это не исключает кавычки. Единственный случай, когда кавычки должны быть экранированы, - это если содержимое будет вставлено в строку в атрибут внутри строки HTML. Мне трудно представить себе случай, когда это будет хорошим дизайном.

Изменить 2: Если производительность имеет решающее значение, решение с наивысшей производительностью (примерно на 50%) по-прежнему представляет собой серию регулярных выражений. Современные браузеры обнаружат, что регулярные выражения не содержат операторов, просто строку и сворачивают все их в одну операцию.

  • 0
    Это не меняет кавычки - по крайней мере, прямо сейчас в Firefox 52.
  • 1
    Выход из кавычек имеет только функциональное значение в атрибутах. Поскольку мы экранируем < и > , экранирование кавычек также не имеет смысла, если только сгенерированное содержимое не предназначено для перехода в атрибут.
27

Вот чистая, понятная функция JavaScript. Это позволит избежать текста, такого как "несколько <много", в "несколько".

function escapeHtmlEntities (str) {
  if (typeof jQuery !== 'undefined') {
    // Create an empty div to use as a container,
    // then put the raw text in and get the HTML
    // equivalent out.
    return jQuery('<div/>').text(str).html();
  }

  // No jQuery, so use string replace.
  return str
    .replace(/&/g, '&amp;')
    .replace(/>/g, '&gt;')
    .replace(/</g, '&lt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&apos;');
}
24

Попробуйте Underscore.string lib, он работает с jQuery.

_.str.escapeHTML('<div>Blah blah blah</div>')

выход:

'&lt;div&gt;Blah blah blah&lt;/div&gt;'
  • 19
    Основная библиотека подчеркивания теперь имеет служебную функцию _.escape() .
22

После последних тестов я могу рекомендовать самое быстрое и полностью совместимое с браузером собственное решение javaScript (DOM):

function HTMLescape(html){
    return document.createElement('div')
        .appendChild(document.createTextNode(html))
        .parentNode
        .innerHTML
}

Если вы повторяете это много раз, вы можете сделать это с помощью подготовленных переменных:

//prepare variables
var DOMtext = document.createTextNode("test");
var DOMnative = document.createElement("span");
DOMnative.appendChild(DOMtext);

//main work for each case
function HTMLescape(html){
  DOMtext.nodeValue = html;
  return DOMnative.innerHTML
}

Посмотрите мое окончательное сравнение производительности (вопрос стека).

  • 2
    Нужно ли использовать два узла? Как насчет только одного: var p = document.createElement('p'); p.textContent = html; return p.innerHTML;
  • 2
    @DanDascalescu: Согласно MDN , функция textContent поддерживается только в Chrome 1+, Firefox 2, IE9, Opera 9.64 и Safari 3 (последние два аннотированы «возможно раньше»). Таким образом, это приведет к нарушению требования ОП «полностью совместимы с браузерами».
Показать ещё 1 комментарий
15

Я увеличил пример mustache.js, добавив метод escapeHTML() к строковому объекту.

var __entityMap = {
    "&": "&amp;",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
};

String.prototype.escapeHTML = function() {
    return String(this).replace(/[&<>"'\/]/g, function (s) {
        return __entityMap[s];
    });
}

Таким образом, довольно легко использовать "Some <text>, more Text&Text".escapeHTML()

  • 0
    Полезно, но также я переместил __entityMap в область видимости функции. И обернул все это в if (typeof String.prototype.escapeHTML !== 'function'){...}
15

escape() и unescape() предназначены для кодирования/декодирования строк для URL-адресов, а не для HTML.

На самом деле, я использую следующий фрагмент, чтобы сделать трюк, который не требует какой-либо структуры:

var escapedHtml = html.replace(/&/g, '&amp;')
                      .replace(/>/g, '&gt;')
                      .replace(/</g, '&lt;')
                      .replace(/"/g, '&quot;')
                      .replace(/'/g, '&apos;');
  • 0
    Если у вас есть " s", вам нужно добавить по крайней мере ' и" к драке. Они действительно нужны только для данных строковых тегов внутри элементов в html. Для самих данных html (внешних тегов) только первые 3 являются обязательными.
10

Если у вас есть underscore.js, используйте _.escape (более эффективный, чем метод jQuery, опубликованный выше):

_.escape('Curly, Larry & Moe'); // returns: Curly, Larry &amp; Moe
5

Если вы переходите по маршруту регулярных выражений, в примере выше приведена ошибка.

<!-- WON'T WORK -  item[0] is an index, not an item -->

var escaped = html; 
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g,"&gt;"], [/"/g,
"&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(item[0], item[1]);   
}


<!-- WORKS - findReplace[item[]] correctly references contents -->

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(findReplace[item[0]], findReplace[item[1]]);
}
  • 2
    Я считаю, что это должно быть для (var item в findReplace) {escaped = escaped.replace (findReplace [item] [0], findReplace [item] [1]); }
4

Это хороший безопасный пример...

function escapeHtml(str) {
    if (typeof(str) == "string"){
        try{
            var newStr = "";
            var nextCode = 0;
            for (var i = 0;i < str.length;i++){
                nextCode = str.charCodeAt(i);
                if (nextCode > 0 && nextCode < 128){
                    newStr += "&#"+nextCode+";";
                }
                else{
                    newStr += "?";
                }
             }
             return newStr;
        }
        catch(err){
        }
    }
    else{
        return str;
    }
}
  • 4
    Какие исключения вы там подавляете?
3

Вы можете легко сделать это с помощью vanilla js.

Просто добавьте текст node к документу. Он будет экранирован браузером.

var escaped = document.createTextNode("<HTML TO/ESCAPE/>")
document.getElementById("[PARENT_NODE]").appendChild(escaped)
2
(function(undefined){
    var charsToReplace = {
        '&': '&amp;',
        '<': '&lt;',
        '>': '&gt;'
    };

    var replaceReg = new RegExp("[" + Object.keys(charsToReplace).join("") + "]", "g");
    var replaceFn = function(tag){ return charsToReplace[tag] || tag; };

    var replaceRegF = function(replaceMap) {
        return (new RegExp("[" + Object.keys(charsToReplace).concat(Object.keys(replaceMap)).join("") + "]", "gi"));
    };
    var replaceFnF = function(replaceMap) {
        return function(tag){ return replaceMap[tag] || charsToReplace[tag] || tag; };
    };

    String.prototype.htmlEscape = function(replaceMap) {
        if (replaceMap === undefined) return this.replace(replaceReg, replaceFn);
        return this.replace(replaceRegF(replaceMap), replaceFnF(replaceMap));
    };
})();

Нет глобальных переменных, некоторая оптимизация памяти. Использование:

"some<tag>and&symbol".htmlEscape({'': '&copy;'})

результат:

"some&lt;tag&gt;and&amp;symbol&copy;"
1

Пример простого сценария JavaScript:

function escapeHtml(text) {
    var div = document.createElement('div');
    div.innerText = text;
    return div.innerHTML;
}

escapeHtml("<script>alert('hi!');</script>")
// "&lt;script&gt;alert('hi!');&lt;/script&gt;"
  • 3
    Ответы только на код не рекомендуется, потому что они не объясняют, как они решают проблему. Пожалуйста, обновите свой ответ, чтобы объяснить, как это улучшает другие принятые и отклоненные ответы на этот вопрос. Кроме того, этому вопросу 9 лет, ваши усилия будут более оценены пользователями, у которых есть недавние вопросы без ответа. Пожалуйста, просмотрите, Как мне написать хороший ответ .
  • 1
    @FluffyKitten - это очень хорошо написанное сообщение в блоге о преимуществах и недостатках такой функции, которое подробно объясняет все, что вы хотели бы знать :) shebang.brandonmintern.com/…
Показать ещё 1 комментарий
1

2 простых метода, для которых нет NO JQUERY...

Вы можете закодировать все символы в своей строке следующим образом:

function encode(e){return e.replace(/[^]/g,function(e){return"&#"+e.charCodeAt(0)+";"})}

Или просто задайте основные символы, чтобы беспокоиться о &, разрывах строк, <, >, " и ' как:

function encode(r){
return r.replace(/[\x26\x0A\<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
}

var myString='Encode HTML entities!\n"Safe" escape <script></'+'script> & other tags!';

test.value=encode(myString);

testing.innerHTML=encode(myString);

/*************
* \x26 is &ampersand (it has to be first),
* \x0A is newline,
*************/
<p><b>What JavaScript Generated:</b></p>

<textarea id=test rows="3" cols="55"></textarea>

<p><b>What It Renders Too In HTML:</b></p>

<div id="testing">www.WHAK.com</div>
1
function htmlEscape(str) {
    var stringval="";
    $.each(str, function (i, element) {
        alert(element);
        stringval += element
            .replace(/&/g, '&amp;')
            .replace(/"/g, '&quot;')
            .replace(/'/g, '&#39;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(' ', '-')
            .replace('?', '-')
            .replace(':', '-')
            .replace('|', '-')
            .replace('.', '-');
    });
    alert(stringval);
    return String(stringval);
}
  • 2
    будьте осторожны, это выбрасывает информацию
0
function htmlDecode(t){
   if (t) return $('<div />').html(t).text();
}

работает как шарм

  • 0
    text удаляет теги html, но $ ('<div />'). html (t) .html (); работает
0

Этот ответ предоставляет jQuery и обычные методы JS, но это кратчайший, не используя DOM:

unescape(escape("It > 20% less complicated this way."))

Исключенная строка: It%27s%20%3E%2020%25%20less%20complicated%20this%20way.

Если экранированные пространства вас беспокоят, попробуйте:

unescape(escape("It > 20% less complicated this way.").replace(/%20/g, " "))

Исключенная строка: It%27s %3E 20%25 less complicated this way.

К сожалению, функция escape() была устарела в JavaScript версии 1.5. encodeURI() или encodeURIComponent() являются альтернативами, но они игнорируют ', поэтому последняя строка кода превратится в это:

decodeURI(encodeURI("It > 20% less complicated this way.").replace(/%20/g, " ").replace("'", '%27'))

Все основные браузеры по-прежнему поддерживают короткий код, и, учитывая количество старых веб-сайтов, я сомневаюсь, что скоро это изменится.

  • 0
    Это для кодирования URL. Вопрос был об экранировании HTML, который сильно отличается.
  • 0
    @thelem, не если строки встроены в массивы JavaScript, встроенные в HTML, но я согласен, что речь идет о экранировании обычного HTML, поэтому его можно сразу отобразить в виде текста.
-1

Все решения бесполезны, если вы не предотвратите повторный выход, например. большинство решений будут продолжать избегать & до &amp;.

escapeHtml = function (s) {
    return s ? s.replace(
        /[&<>'"]/g,
        function (c, offset, str) {
            if (c === "&") {
                var substr = str.substring(offset, offset + 6);
                if (/&(amp|lt|gt|apos|quot);/.test(substr)) {
                    // already escaped, do not re-escape
                    return c;
                }
            }
            return "&" + {
                "&": "amp",
                "<": "lt",
                ">": "gt",
                "'": "apos",
                '"': "quot"
            }[c] + ";";
        }
    ) : "";
};
  • 3
    Это называется двойным экранированием и должно быть исправлено, убедившись, что ваши входные данные еще не экранированы. Что, если вы хотите буквально показать & lt; пользователю? Или, возможно, текст будет использоваться повторно в другом месте и зависеть от того, что произошло побег?
-1

Если вы сохраняете эту информацию в базе данных, ее ошибка для выхода из HTML с помощью клиентской стороны script, это должно быть сделано в сервер. В противном случае его легко обойти защиту XSS.

Чтобы понять мою точку зрения, воспользуйтесь одним из ответов:

Допустим, вы используете функцию escapeHtml, чтобы избежать Html из комментария в своем блоге и затем отправить его на свой сервер.

var entityMap = {
    "&": "&amp;",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
  };

  function escapeHtml(string) {
    return String(string).replace(/[&<>"'\/]/g, function (s) {
      return entityMap[s];
    });
  }

Пользователь может:

  • Отредактируйте параметры запроса POST и замените комментарий кодом javascript.
  • Перезаписать функцию escapeHtml с помощью консоли браузера.

Если пользователь вставляет этот фрагмент в консоль, он будет обходить проверку XSS:

function escapeHtml(string){
   return string
}
  • 0
    Я не согласен. Чтобы обойти эту защиту XSS, вам придется использовать XSS-атаку (внедрение сценария, который отключает экранирование), который вы фактически блокируете. В некоторых случаях на самом деле более целесообразно экранировать на клиенте, например, если данные поступают из REST API, который должен возвращать стандартный JSON.
  • 0
    @Qualcuno Если вы выполняете эту проверку на клиенте и отправляете эту информацию на сервер, полагая, что она была проверена, пользователь может просто отредактировать запрос, и сценарий будет сохранен в базе данных.
Показать ещё 4 комментария

Ещё вопросы

Сообщество Overcoder
Наверх
Меню