Какие символы мне нужно экранировать в документах XML?

Question

Какие символы мне нужно экранировать в документах XML?

836

Какие символы должны быть экранированы в документах XML или где я могу найти такой список?

Julius A 07 июль 2009, в 11:19

Источник

6

Пример: <company>AT&T</company>
jacktrades 05 дек. 2012, в 19:47
0

См. Упрощенный XML Escapeing ниже для краткого и легко запоминающегося руководства, которое я извлек из первоисточников ( W3C Extensible Markup Language (XML) 1.0 (пятое издание) ).
kjhughes 14 фев. 2018, в 16:40

Теги:

xml

escaping

character

10 ответов

92

Возможно, это поможет:

Список ссылок на символы XML и HTML:

В документах SGML, HTML и XML, логические конструкции, известные как символ данные и значения атрибутов состоят из последовательности символов, в которых каждый персонаж может проявляться напрямую (представляющий себя), или может быть представленный рядом символов называется символьной ссылкой, из которых существует два типа: числовое символьная ссылка и символ ссылка на объект. В этой статье перечислены объект символа ссылается на действительны в документах HTML и XML.

В этой статье перечислены следующие пять предопределенных XML-объектов:

quot  "
amp   &
apos  '
lt    <
gt    >

Andrew Hare 07 июль 2009, в 13:46

64

В соответствии со спецификациями Консорциума World Wide Web (w3C) существует 5 символов, которые не должны отображаться в их литеральной форме в документе XML, за исключением случаев, когда они используются в качестве разделителей разметки или в комментарии, инструкции обработки или секции CDATA. Во всех остальных случаях эти символы должны быть заменены либо с использованием соответствующего объекта, либо с помощью числовой ссылки в соответствии со следующей таблицей:

Original Character XML entity replacement XML numeric replacement
<                               <                                     <
>                               >                                    >
"                                "                                "
&                               &                                &
'                                '                                '

Обратите внимание, что вышеупомянутые сущности могут использоваться также в HTML, за исключением & apos;, который был введен с XHTML 1.0 и не объявлен в HTML 4. По этой причине и для обеспечения ретро-совместимости спецификация XHTML рекомендует использовать & # 39; вместо этого.

Albz 03 июль 2013, в 14:07

11

XML предопределяет эти пять сущностей, но абсолютно НЕ указывает, что вы не можете использовать ни один из этих пяти символов в их буквальной форме. <и & должны быть экранированы везде (кроме CDATA). «и» должны быть экранированы только в значениях атрибутов, и только если соответствующий символ кавычки одинаков. И> на самом деле никогда не должен экранироваться.
Shaun McCance 24 авг. 2013, в 13:58
2

Как написано выше, <> "& 'не нужно экранировать при использовании в качестве разделителей разметки или внутри комментария, инструкции обработки или раздела CDATA. То есть, когда вы используете <> в качестве тега XML, вы не избегаете его То же самое относится и к комментарию (вы не указали бы & в закомментированной строке XML-файла? Вам не нужно, и ваш XML все еще действителен, если вы этого не сделаете). Это четко указано в официальных рекомендациях для XML от W3C .
Albz 01 окт. 2013, в 07:21
5

@ShaunMcCance > должен быть экранирован, если он следует ]] внутри содержимого, если только он не является частью разделителя ]]> , указывающего конец раздела CDATA.
Lee D 25 апр. 2014, в 17:45
1

Не быть некромантом, но @Albz неверно утверждать, что эти символы ДОЛЖНЫ иметь право на содержание. Смотрите раздел 2.4 на w3.org/TR/REC-xml/#NT-CharData . Версия TL; DR такова, что в содержании элемента chardata & amp; и & lt; должны быть всегда наделены правом. & Gt; символ МОЖЕТ быть разрешен, хотя он ДОЛЖЕН быть при появлении в буквальной строке «]]>», так как в противном случае он будет читаться как конец раздела CDATA. Для одинарных и двойных кавычек вы можете убежать, если хотите. Вот и все, для чардата внутри элементов. Другие компоненты XML имеют другие правила.
chris.leonard 03 май 2016, в 17:52

Показать ещё 2 комментария

45

Экранирующие символы различаются для тегов и атрибутов.

Для тегов:

 < &lt;
 > &gt; (only for compatibility, read below)
 & &amp;

Для атрибутов:

" &quot;
' &apos;

http://www.w3.org/TR/2008/REC-xml-20081126/#syntax

Символ амперсанда (&) и левый угловой кронштейн (<) не должны появляются в их буквальной форме, за исключением случаев, когда они используются в качестве разделителей разметки, или в комментарии, инструкции обработки или секции CDATA. Если они необходимы в другом месте, они должны быть экранированы с использованием либо числовых символьные ссылки или строки "&" и "& lt;" соответственно. Прямая угловая скобка ( > ) может быть представлена с помощью string " > " и для совместимости должны быть экранированы с использованием либо "& gt;" или ссылку на символ, когда она появляется в строке "]] > " по содержанию, когда эта строка не маркирует конец CDATA раздел.

Чтобы значения атрибутов содержали как одинарные, так и двойные кавычки, апостроф или символ с одной кавычкой (') могут быть представлены как "& APOS;", и символ двойной кавычки ( ") как" "".

Peter Bartels 05 фев. 2014, в 11:27

0

Это означает, что для атрибутов необходимо экранировать только кавычки, но это в дополнение к трем другим символам
eug 05 июль 2018, в 04:46

19

в дополнение к обычно известным пяти символам [<, > , &, ", '] Я также мог бы избежать символа вертикальной табуляции (0x0B). Он действителен UTF-8, но не действителен XML 1.0, и даже многие библиотеки (включая libxml2) пропускают его и молча выводят недопустимый XML.

Charon ME 25 апр. 2012, в 14:15

10

^{Новый, упрощенный ответ на старый, часто задаваемый вопрос...}

Упрощение XML-экранирования

Всегда _{^{(90% важно помнить)}}
- Escape < as < если < не запускает <tag/>.
- Escape & as & если & не запускается &entity; ,
Значения атрибута _{^{(важно помнить 9%)}}
- attr=" ' Одиночные кавычки ' в пределах двойных кавычек. "
- attr=' " Двойные кавычки " в пределах одинарных кавычек. '
- Побег ", как " и ', как ' в противном случае.
Комментарии, CDATA и инструкции по обработке _{^{(важно помнить о 0.9%)}}
-  ничего не должно быть экранировано, но нет -- строки разрешены.
- <![CDATA[ Внутри CDATA ]]> ничего не должно быть экранировано, но нет ]]> строки разрешены.
- <?PITarget В НЦБ ?> Ничего не надо бежать, но нет ?> Строки не допускаются.
Эзотерика _{^{(0.1% важно запомнить)}}
- Escape ]]> as ]]> если ]]> заканчивается секцией CDATA.
  _{^{(Это правило применяется к символьным данным вообще - даже вне раздела CDATA.)}}

kjhughes 09 окт. 2017, в 03:11

0

Стоит отметить еще одно правило: ]]> должно быть экранировано как ]]> , даже если не в разделе CDATA. Самый простой способ достичь этого - всегда бежать > как > ,
Michael Kay 29 май 2018, в 15:24
0

Спасибо, @MichaelKay. Я включен вашу полезную заметку о ]]> но решил низвести его эзотерики , а не предполагая , что > всегда быть экранированы (что это не должно быть, как вы знаете). Моя цель - сделать так, чтобы XML-экранирующие правила легко запоминались и были на 100% точными .
kjhughes 03 июнь 2018, в 14:01

4

Сокращен от: http://en.wikipedia.org/wiki/XML#Escaping

Существует пять предопределенных сущностей:

&lt; represents "<"
&gt; represents ">"
&amp; represents "&"
&apos; represents '
&quot; represents "

"Все допустимые символы Юникода могут быть представлены с помощью числовой символьной ссылки". Например:

&#20013;

Большинство управляющих символов и других диапазонов юникода специально исключены, что означает (я думаю), что они не могут произойти ни с экранированием, ни с прямой:

http://en.wikipedia.org/wiki/Valid_characters_in_XML

Tim Cooper 15 авг. 2014, в 09:46

3

Это зависит от контекста. Для контента это & lt; и &, и]] > (хотя строка из 3 вместо одной char). Для значений атрибутов это & lt; и "и", а для "CDATA" ]] > .

把友情留在无盐 04 июнь 2015, в 15:33

-1

Они должны быть экранированы:

"   &quot;
'   &apos;
<   &lt;
>   &gt;
&   &amp;

kg11 29 авг. 2017, в 11:52

-3

Только < и должны быть экранированы, если они должны обрабатываться символьными данными, а не разметкой:

http://www.w3.org/TR/xml11/#syntax

Questionless 02 апр. 2014, в 15:46

Ещё вопросы

См. Упрощенный XML Escapeing ниже для краткого и легко запоминающегося руководства, которое я извлек из первоисточников ( W3C Extensible Markup Language (XML) 1.0 (пятое издание) ).
XML предопределяет эти пять сущностей, но абсолютно НЕ указывает, что вы не можете использовать ни один из этих пяти символов в их буквальной форме. <и & должны быть экранированы везде (кроме CDATA). «и» должны быть экранированы только в значениях атрибутов, и только если соответствующий символ кавычки одинаков. И> на самом деле никогда не должен экранироваться.
Как написано выше, <> "& 'не нужно экранировать при использовании в качестве разделителей разметки или внутри комментария, инструкции обработки или раздела CDATA. То есть, когда вы используете <> в качестве тега XML, вы не избегаете его То же самое относится и к комментарию (вы не указали бы & в закомментированной строке XML-файла? Вам не нужно, и ваш XML все еще действителен, если вы этого не сделаете). Это четко указано в официальных рекомендациях для XML от W3C .
@ShaunMcCance > должен быть экранирован, если он следует ]] внутри содержимого, если только он не является частью разделителя ]]> , указывающего конец раздела CDATA.
Не быть некромантом, но @Albz неверно утверждать, что эти символы ДОЛЖНЫ иметь право на содержание. Смотрите раздел 2.4 на w3.org/TR/REC-xml/#NT-CharData . Версия TL; DR такова, что в содержании элемента chardata & amp; и & lt; должны быть всегда наделены правом. & Gt; символ МОЖЕТ быть разрешен, хотя он ДОЛЖЕН быть при появлении в буквальной строке «]]>», так как в противном случае он будет читаться как конец раздела CDATA. Для одинарных и двойных кавычек вы можете убежать, если хотите. Вот и все, для чардата внутри элементов. Другие компоненты XML имеют другие правила.
Это означает, что для атрибутов необходимо экранировать только кавычки, но это в дополнение к трем другим символам
Стоит отметить еще одно правило: ]]> должно быть экранировано как ]]> , даже если не в разделе CDATA. Самый простой способ достичь этого - всегда бежать > как > ,
Спасибо, @MichaelKay. Я включен вашу полезную заметку о ]]> но решил низвести его эзотерики , а не предполагая , что > всегда быть экранированы (что это не должно быть, как вы знаете). Моя цель - сделать так, чтобы XML-экранирующие правила легко запоминались и были на 100% точными .

Welbog · Accepted Answer · 2009-07-07T13-04-00.000Z

Если вы используете соответствующий класс или библиотеку, они будут выполнять экранирование для вас. Многие проблемы XML вызваны конкатенацией строк.

escape-символы XML

Всего пять:

"   &quot;
'   &apos;
<   &lt;
>   &gt;
&   &amp;

Экранирующие символы зависят от того, где используется специальный символ.

Примеры можно проверить в службе валидации разметки W3C.

Текст

Безопасный способ состоит в том, чтобы избежать всех пяти символов в тексте, однако три символа ", ' и > не должны быть экранированы в тексте:

<?xml version="1.0"?>
<valid>"'></valid>

Атрибуты

Безопасный способ состоит в том, чтобы избежать всех пяти символов в атрибутах, однако символ > не должен быть экранирован в атрибутах:

<?xml version="1.0"?>
<valid attribute=">"/>

Символу ' не нужно экранировать в атрибутах, если кавычки ":

<?xml version="1.0"?>
<valid attribute="'"/>

Аналогично, " не обязательно следует экранировать в атрибутах, если кавычки ':

<?xml version="1.0"?>
<valid attribute='"'/>

CDATA

Все 5 специальных символов не должны быть экранированы в CDATA разделах:

<?xml version="1.0"?>
<valid>
<![CDATA["'<>&]]>
</valid>

Инструкции по обработке

Все 5 специальных символов не должны выполняться в инструкциях по обработке XML:

<?xml version="1.0"?>
<?process <"'&> ?>
<valid/>

XML против HTML

HTML имеет свой собственный код escape-кодов, который покрывает намного больше символов.

Окончательный источник: w3.org/TR/xml/#syntax
Но что касается HTML, нам нужно было бы избежать только пяти приведенных выше, не так ли?
@Pacerier, я прошу вас не писать свой собственный код XML / HTML. Используйте библиотечную функцию или вы обязательно пропустите особый случай.
Также для переносов строк вам нужно использовать & # xA; & # XD; и & # x9; для вкладки, если вам нужны эти символы в атрибуте.
Возврат каретки &#xD включен только для обратной совместимости, как отмечено в разделе, предшествующем разделу, связанному с MicSim. Не используйте его, так как он удален или заменен эфиром на &#xA .
Если вы собираетесь выполнять поиск / замену, просто не забудьте сделать & amp; замена раньше остальных.
@ Дуг Я собирался упомянуть точно то же самое, иначе все замененные символы будут испорчены, и такие вещи, как " будет изменен на "
Обратите внимание, что в HTML вам на самом деле просто нужно убежать < и & . Хотя остальные три также определены, на самом деле нет необходимости экранировать их в допустимом XML
Из Википедии: «Все разрешенные символы Юникода могут быть представлены с помощью числовой ссылки на символ». Так что их намного больше 5.
freeformatter.com/xml-escape.html#ad-output использует этот сервис для выхода из xml.
@dirkk Я обнаружил, что то же самое верно в моем тестировании. Первоначально я избежал всех 5, чтобы быть в безопасности, хотя один только амперсанд был исходной целью для ошибки. После дальнейшего тестирования я обнаружил, что апостроф, к примеру, без проблем прошел через приложение.
Потрясающие! Эта информация позволяет мне генерировать универсальные интерфейсы сопоставления с генератором MyBatis для моего проекта непрерывной интеграции

Какие символы мне нужно экранировать в документах XML?

10 ответов

escape-символы XML

Текст

Атрибуты

Комментарии

CDATA

Инструкции по обработке

XML против HTML

Упрощение XML-экранирования

Ещё вопросы