Мне действительно нужно кодировать '&' как '& amp;'?

Question

Мне действительно нужно кодировать '&' как '& amp;'?

156

Я использую символ < & с HTML5 и UTF-8 на моем сайте <title>. Google показывает амперсанд в своих выдаче, как и все браузеры в своих названиях.

http://validator.w3.org дает мне следующее:

& не начиналась символьная ссылка. (& вероятно, должно было быть экранировано как &.)

Нужно ли мне делать &?

Я не суетился о том, что мои страницы проверяются ради проверки, но мне любопытно слышать мнения людей по этому поводу, и если это важно и почему.

Haroldo 16 авг. 2010, в 14:17

Источник

62

Спецификации не говорят так. Постер ссылается на HTML5, который не требует выхода из амперсанда во всех сценариях.
Matthew Wilson 16 авг. 2010, в 13:39
2

Это должна быть Вики Сообщества, так как вы ищете мнения, а отсутствие суеты по поводу проверки подразумевает, что нет объективных оснований для ответа.
Richard JP Le Guen 16 авг. 2010, в 14:06
6

@Richard: правда? Хотя я не согласен с тем, что «валидация не имеет значения», я считаю это очень объективным вопросом: «это нарушает что-либо кроме спецификации?»
Joachim Sauer 16 авг. 2010, в 14:11
0

@Joachim Sauer - Ваш пример - хороший вопрос ... но вопрос не в этом: P Точные слова «мне интересно услышать мнение людей» даже появляются в тексте!
Richard JP Le Guen 16 авг. 2010, в 14:16
1

@Richard: я не согласен здесь. "Мне действительно нужно делать & " и «[...] мне любопытно услышать мнение людей по этому поводу, и если это важно и почему ». (акцент мой). Эти двое указывают на то, что он интересуется фактической информацией, но знает, что многое из этого открыто, по крайней мере, для некоторой интерпретации, поэтому он запрашивает несколько мнений.
Joachim Sauer 16 авг. 2010, в 14:18
0

@ Йоахим Зауэр - это правда. Я признаю обоснованность вашего мнения ... но также и моя собственная;)
Richard JP Le Guen 16 авг. 2010, в 14:25
0

@Richard: достаточно справедливо ;-)
Joachim Sauer 16 авг. 2010, в 14:28
2

@YiJiang Современные веб-браузеры делают все возможное, чтобы понять пользователя . И Google тоже . Это часть Spec. Будущие веб-браузеры могут быть менее щадящими. Поэтому всегда полезно проверить, как это делает Википедия, и скопировать их.
unixman83 11 фев. 2012, в 10:50
0

Когда xslt преобразует xml в html, он не исчезнет & as & amp; в значениях атрибутов.
jontro 07 июнь 2012, в 11:51
0

@ unixman83 Это хороший подход: посмотрите, как это делает Википедия
Kzqai 09 окт. 2013, в 20:56
0

Сам Google использует & в href urls. Посмотреть источник на google.com или plus.google.com Я склонен следовать примеру крупных игроков по этим сомнительным темам
User 13 март 2014, в 18:54
0

Вот спецификация w3
rnevius 07 май 2014, в 08:57
0

Зарезервированные символы в HTML должны быть заменены символьными объектами. Тестовый пример по этому URL : var element = document.evaluate('//table[@class="w3-table-all notranslate"]/tbody/tr[5]/td', window.document, null, XPathResult.FIRST_ORDERED_NODE_TYPE, null ).singleNodeValue; console.log('HTML:', element.innerHTML); var JS = (element.innerHTML).replace('&', '&'); console.log(JS);
Yash 10 фев. 2016, в 05:43
0

Спецификация HTML говорит, что нужно принимать дерьмо. Означает ли это, что ваш сайт "позволено" быть дерьмом сейчас? Закрывайте теги, которые нужно закрыть, и избегайте вещей! Давай люди.
doug65536 21 авг. 2016, в 09:17

Показать ещё 12 комментариев

Теги:

html

html5

validation

character-encoding

utf-8

17 ответов

Ещё вопросы

Спецификации не говорят так. Постер ссылается на HTML5, который не требует выхода из амперсанда во всех сценариях.
Это должна быть Вики Сообщества, так как вы ищете мнения, а отсутствие суеты по поводу проверки подразумевает, что нет объективных оснований для ответа.
@Richard: правда? Хотя я не согласен с тем, что «валидация не имеет значения», я считаю это очень объективным вопросом: «это нарушает что-либо кроме спецификации?»
@Joachim Sauer - Ваш пример - хороший вопрос ... но вопрос не в этом: P Точные слова «мне интересно услышать мнение людей» даже появляются в тексте!
@Richard: я не согласен здесь. "Мне действительно нужно делать & " и «[...] мне любопытно услышать мнение людей по этому поводу, и если это важно и почему ». (акцент мой). Эти двое указывают на то, что он интересуется фактической информацией, но знает, что многое из этого открыто, по крайней мере, для некоторой интерпретации, поэтому он запрашивает несколько мнений.
@ Йоахим Зауэр - это правда. Я признаю обоснованность вашего мнения ... но также и моя собственная;)
@YiJiang Современные веб-браузеры делают все возможное, чтобы понять пользователя . И Google тоже . Это часть Spec. Будущие веб-браузеры могут быть менее щадящими. Поэтому всегда полезно проверить, как это делает Википедия, и скопировать их.
Когда xslt преобразует xml в html, он не исчезнет & as & amp; в значениях атрибутов.
@ unixman83 Это хороший подход: посмотрите, как это делает Википедия
Сам Google использует & в href urls. Посмотреть источник на google.com или plus.google.com Я склонен следовать примеру крупных игроков по этим сомнительным темам
Зарезервированные символы в HTML должны быть заменены символьными объектами. Тестовый пример по этому URL : var element = document.evaluate('//table[@class="w3-table-all notranslate"]/tbody/tr[5]/td', window.document, null, XPathResult.FIRST_ORDERED_NODE_TYPE, null ).singleNodeValue; console.log('HTML:', element.innerHTML); var JS = (element.innerHTML).replace('&', '&'); console.log(JS);
Спецификация HTML говорит, что нужно принимать дерьмо. Означает ли это, что ваш сайт "позволено" быть дерьмом сейчас? Закрывайте теги, которые нужно закрыть, и избегайте вещей! Давай люди.

Delan Azabani · Answer 1 · 2010-08-16T13-37-00.000Z

127

Да. Так же, как и ошибка, в HTML атрибуты #PCDATA означают, что они разбираются. Это означает, что вы можете использовать символьные сущности в атрибутах. Использование & само по себе неверно, и если не для мягких браузеров и того факта, что это HTML не XHTML, это нарушит разбор. Просто избегайте его как &, и все будет хорошо.

HTML5 позволяет оставить его неэкранированным, но только тогда, когда последующие данные не выглядят как действительная символьная ссылка. Однако лучше избегать всех экземпляров этого символа, чем беспокоиться о том, какие из них должны быть, а какие не нужны.

Помните об этом; если вы не ускользаете, а к & amp;, это достаточно плохо для создаваемых вами данных (где код может быть очень недействительным), вы также не можете избежать разделителей тегов, что является огромной проблемой для пользовательских данные, которые вполне могут привести к HTML и script инъекциям, хищению файлов cookie и другим эксплойтам.

Пожалуйста, просто избегайте кода. Это сэкономит вам массу неприятностей в будущем.

Delan Azabani 16 авг. 2010, в 13:37

9

Ни один браузер никогда не будет «неверно истолковывать» a &. Каждый существующий браузер отображает его как «&». Принимая во внимание, что он явно попросил практическую причину сделать это, и что он заявил, что его не волнует проверка ...
Andreas Bonini 16 авг. 2010, в 13:13
44

Да. Но морально, мы должны полагаться на снисходительность и "хорошую" обработку ошибок браузеров? Или мы должны просто написать правильный код?
Delan Azabani 16 авг. 2010, в 13:15
7

@Delan: хотя я пытаюсь сделать каждую написанную страницу достоверной, я понимаю, прочитав его вопрос, что он не заботится о «морально». Ему просто все равно, работает это или нет. Это две разные философии, и у обеих есть свои плюсы и минусы, и нет «правильной». Например, этот сайт не проверяется, и все же это отличный сайт.
Andreas Bonini 16 авг. 2010, в 13:16
0

Кроме того, даже если бы это был XHTML, он не «прервал бы синтаксический анализ», если бы тип контента не был установлен на application / xhtml + xml, чего никто не делает, потому что глупо, что вместо изящной обработки ошибки браузер должен выйти. (Вот почему XHTML прекращается в пользу HTML 5)
Andreas Bonini 16 авг. 2010, в 13:18
3

@ Андреас, но браузеры имеют достаточно ошибок в том, как они интерпретируют правильный код, в зависимости от того, получают ли они правильные результаты, когда вы отправляете им бессмысленную разметку - это случайность. Он может работать сегодня с этим примером, а затем потерпеть неудачу со следующим примером (скажем, если следующий пример имеет точку с запятой где-то после &)
Jon Hanna 16 авг. 2010, в 13:20
0

@Jon: Я согласен, что во всех случаях лучше, если ваши страницы проверяются. Я явно не оспариваю это. Серая область такова: стоит потратить X часов времени на разработку, чтобы их проверить, или лучше пойти на небольшой риск того, что в будущем, как-то, все может сломаться? Я лично думаю, что это того стоит, но я не виню людей, которые думают, что это не так (например, Джефф Этвуд), потому что это такая серая область. Одно можно сказать наверняка: создание валидации страниц стоит денег, и это важно учитывать.
Andreas Bonini 16 авг. 2010, в 13:22
1

В этом случае вы не правы. Это не займет X часов или Y долларов, чтобы подтвердить его в данном конкретном случае . Это простой случай preg_replace('/&/','&',$code);
Delan Azabani 16 авг. 2010, в 13:24
10

Кажется, все говорят о HTML5, но в первоначальном вопросе говорится, что HTML5 используется. HTML5 явно разрешает скрываться и в этой ситуации, если только то, что следует, & обычно не расширяется до сущности (например, & copy = 2 проблематично, но & x = 2 хорошо).
Matthew Wilson 16 авг. 2010, в 13:26
0

@ Андреас Бонини: Вы не правы. По крайней мере, Firefox и Opera следуют правилам и правильно интерпретируют следующее: <a href="http://www.google.com/search?q=foo&sect=bar">foo§=bar</a> .
Gumbo 16 авг. 2010, в 13:26
1

Пока вы не потратили X часов времени на разработку, чтобы подтвердить их (в большинстве случаев X должно быть <1), вы не знаете, почему они не проверяются. Если вы тем временем уделяете достаточно разумного внимания коду, то почему вы вдруг получаете бессмысленный вывод? Вам нужно будет провести расследование, чтобы убедиться, что у вас нет серьезной ошибки, а затем все равно 5 секунд, чтобы ее исправить. Одним из больших преимуществ сохранения правильности вещей является то, что вещи, которые внезапно становятся недействительными, могут быстро пометить небольшую ошибку, которая была бы пропущена, если бы все результаты были бессмысленными.
Jon Hanna 16 авг. 2010, в 13:27
1

Проверка правильности страниц вообще не стоит никаких денег - по крайней мере, если вы создаете новые. Поддержание недействительными, если что-то сломается, стоит денег.
igor 16 авг. 2010, в 13:27
0

Черт возьми это. Я пропустил HTML 5 бит в вопросе!
Jon Hanna 16 авг. 2010, в 13:28
0

Я перенесу это в ответ.
Matthew Wilson 16 авг. 2010, в 13:42
0

@ Гамбо: Я явно сказал & сам по себе . В вашем примере это не само по себе, не так ли?
Andreas Bonini 16 авг. 2010, в 13:58
1

@Delan Вы говорите, что HTML5 разрешает это, если он не выглядит как действительная ссылка на символ. Что вы подразумеваете под выглядит точно? Конечно, стандарт более точен, чем этот.
Alex Jasmin 16 авг. 2010, в 23:52
0

&copy=3 «выглядит» как действительный объект как © определено. Согласно HTML5, такого рода вещи определенно следует избегать. &asldfj=4 не выглядит как определенная ссылка, так что это не обязательно , но в любом случае следует избегать по причинам, которые я изложил выше в своем ответе.
Delan Azabani 17 авг. 2010, в 00:24

Показать ещё 14 комментариев

Richard JP Le Guen · Answer 2 · 2010-08-16T16-00-00.000Z

Валидация в стороне, факт остается фактом: кодирование определенных символов важно для HTML-документа, чтобы он мог корректно и безопасно отображать веб-страницу.

Кодирование & как & при любых обстоятельствах, для меня - это более легкое правило жить, уменьшая вероятность ошибок и сбоев.

Сравните следующее: что проще? который легче взломать?

Методология 1

Напишите некоторый контент, содержащий символы амперсанда.
Кодировать их все.

Методология 2

(с зерном соли, пожалуйста;))

Напишите некоторый контент, который включает символы амперсанда.
В каждом конкретном случае просмотрите каждый амперсанд. Определите, если:
- Он изолирован и как таковой однозначно амперсанд. например. volt & amp
  > В этом случае не надо его кодировать.
- Он не изолирован, но вы чувствуете, что он тем не менее однозначен, поскольку результирующий объект не существует и никогда не будет существовать, поскольку список сущностей никогда не может эволюционировать. например amp&volt
  > В этом случае не беспокойтесь, кодируя его.
- Он не изолирован и неоднозначен. например. volt&amp
  > Кодировать его.

??

Второй случай amp&volt неоднозначен: Является ли &volt теперь ссылка на сущность или нет?
@Gumbo Амперсанд в amp&volt не является неоднозначным амперсандом (согласно определению в спецификации HTML). См. Mathiasbynens.be/notes/ambiguous-ampersands и mothereff.in/ampersands#amp%26volt .

Mathias Bynens · Answer 3 · 2011-11-23T17-42-00.000Z

27

Ive тщательно изучил это и написал о моих выводах здесь: http://mathiasbynens.be/notes/ambiguous-ampersands

Ive также создал онлайн-инструмент, который вы можете использовать для проверки вашей разметки для двусмысленных амперсандов или ссылок на символы, которые не заканчиваются точкой с запятой, как из которых недействительны. (В настоящее время HTML-валидатор делает это правильно.)

Mathias Bynens 23 нояб. 2011, в 17:42

0

Могу ли я просто предложить поместить приведенные здесь примеры в инструмент вместо текущего текста по умолчанию, что просто сбивает с толку и неясно?
Kzqai 09 окт. 2013, в 21:03
0

@Kzwai Какие примеры? ОП не указал.
Mathias Bynens 10 окт. 2013, в 13:18
1

Я просто имею в виду, что примеры по адресу: mothereff.in/ampersands при первой загрузке не так полезны, как перечисленные здесь примеры. Ничего страшного, конечно.
Kzqai 10 окт. 2013, в 20:59
2

@MathiasBynens +1 спасибо за ваш пост в блоге и этот инструмент. Вы действительно сделали все возможное Реальный вывод заключается в том , что вы можете официально писать в открытом виде & до тех пор , как это не выглядит как выражение атрибута. Это действительно проясняет для меня. Лично. Спецификация HTML5 делает все возможное, чтобы сделать HTML простым для написания, перенося сложную работу по интерпретации в браузер, что, на мой взгляд, является хорошим выходом из положения. Прошли времена строгого синтаксиса XHTML, и это здорово.
Robin Winslow 12 нояб. 2016, в 16:44

Показать ещё 2 комментария

Matthew Wilson · Answer 4 · 2010-08-16T14-28-00.000Z

Правила HTML5 отличаются от HTML4. Это не требуется в HTML5 - если амперсанд не выглядит так, как он запускает имя параметра. "& copy = 2" по-прежнему является проблемой, например, поскольку & copy; является символом авторского права.

Однако мне кажется, что труднее решить, чтобы кодировать или не кодировать в зависимости от следующего текста. Поэтому самый простой путь - это, вероятно, все время кодировать.

Это похоже на цитирование значений атрибутов - вам не нужно, но вы не ошибетесь, если будете делать это все время.
&copy=2 не такая большая проблема, как вы думаете. В значениях атрибута (например, атрибуте href ) символ &copy не будет рассматриваться как символьная ссылка для © . Вне значения атрибута это было бы.
Учитывая, что перед английским текстом перед амперсандом обычно стоит пробел, за которым следует пробел, не трудно вспомнить или подумать о правиле, которому я следую: если амперсанд не касается другого видимого символа, что почти всегда, то в этом нет необходимости. кодирование. В противном случае, просто для простоты кодирования.
Не могли бы вы добавить ссылку на правила HTML5?

Ryan Kinal · Answer 5 · 2010-08-16T15-47-00.000Z

Я думаю, что это превратилось в вопрос "зачем следовать спецификации, когда браузеру все равно". Вот мой обобщенный ответ:

Стандарты не являются "настоящими" вещь. Они являются "будущими". вещь. Если мы, разработчики, следуем веб-стандартам, то поставщики браузеров с большей вероятностью правильно реализуют эти стандарты, и мы приближаемся к полностью интероперабельному веб-сайту, где CSS-хаки, обнаружение функций и обнаружение браузера не нужны. Где нам не нужно выяснять, почему наши макеты разбиваются в определенном браузере или как обойти это.

В частности, если HTML5 не требует использования & в вашей конкретной ситуации, и вы используете доктрину HTML5 (а также ожидаете, что ваши пользователи будут использовать HTML5-совместимые браузеры), тогда нет причин для этого.

При этом, в общем, вы должны помнить, что большинство «стандартных» способов все еще находятся в черновом режиме и могут измениться в будущем.

AakashM · Answer 6 · 2010-08-16T15-32-00.000Z

Не могли бы вы показать нам, что ваш title на самом деле? Когда я отправляю

<!DOCTYPE html>
<html>
<title>Dolce & Gabbana</title>
<body>
<p>am i allowed loose & mpersands?</p>
</body>
</html>

to http://validator.w3.org/ - , в котором явным образом просил использовать экспериментальный режим HTML 5 - он не жалуется на & s...

Да, HTML5 имеет другой синтаксический анализатор, чем предыдущие анализаторы HTML и XHTML, и в определенных ситуациях допускает использование неэкранированных амперсандов.
Что касается этих примеров, в HTML5 нет ничего нового. <title>Dolce & Gabbana</title> и Dolce & Gabbana являются действительными HTML 2.0.

Andreas Bonini · Answer 7 · 2010-08-16T14-37-00.000Z

Ну, если это исходит от пользовательского ввода, то абсолютно да, по понятным причинам. Подумайте, не сделал ли этот сам сайт: название этого вопроса будет отображаться как , мне действительно нужно кодировать '& как '&?

Если это просто что-то вроде echo '<title>Dolce & Gabbana</title>';, то, строго говоря, вам это не нужно. Было бы лучше, но если вы этого не сделаете, пользователь не заметит разницы.

Gumbo · Answer 8 · 2010-08-16T16-20-00.000Z

В HTML a & отмечается начало ссылки, любая из ссылок или ссылка на сущность. С этой точки анализатор ожидает либо a #, обозначающего ссылку на символ, либо имя объекта, обозначающее ссылку на сущность, с последующим знаком ;. Это нормальное поведение.

Но если вместо ссылочного имени или только эталонного открытия & следует пробел или другие разделители, такие как ", ', <, >, &, окончание ; и даже ссылка для представления простой & может быть опущена:

<p title="&amp;">foo &amp; bar</p>
<p title="&amp">foo &amp bar</p>
<p title="&">foo & bar</p>

Только в этих случаях конец ; или даже сама ссылка может быть опущена (по крайней мере, в HTML 4). Я думаю, что HTML 5 требует окончания ;.

Но спецификация рекомендует всегда использовать ссылку, например ссылку на символ & или ссылку на объект &, чтобы избежать путаницы:

Авторы должны использовать "&" (ASCII decimal 38) вместо "&", чтобы избежать путаницы с началом ссылки на символ (ограничитель ссылки на сущность). Авторы также должны использовать "&" в значениях атрибутов, так как символьные ссылки разрешены в значениях атрибута CDATA.

Это спецификация HTML 4, на которую вы ссылаетесь; из моего прочтения (черновой) спецификации HTML 5 запрещены только неоднозначные амперсанды. Например, амперсанд, за которым следует пробел, не является двусмысленным, и поэтому (опять же по моим прочтениям) должен быть разрешен - см. Мой ответ для разметки, который принимает валидатор HTML 5.
@AakashM: Я не уверен, это звучало так.

Nishant · Answer 9 · 2016-01-19T15-02-00.000Z

Я проверял, почему URL-адрес изображения нужно экранировать, поэтому попробовал его в https://validator.w3.org. Объяснение довольно приятно. Он подчеркивает, что даже URL-адрес должен быть экранирован. [PS: Я предполагаю, что это не будет отменено, когда его потребляемый с URL-адреса нужно &. Может кто-нибудь уточнить?]

<img alt="" src="foo?bar=qut&qux=fop" />

Ссылка на объект была найдена в документе, но нет ссылка на это имя определена. Часто это вызвано ошибкой имя ссылки, неуказанные амперсанды или конечная точка с запятой (;). Наиболее распространенной причиной этой ошибки является unencoded ampersands в URL-адресах, как описано в WDG в "Амперсандах в URL-адреса". Ссылки на объекты начинаются с амперсанда (&) и заканчиваются точка с запятой (;). Если вы хотите использовать буквальный амперсанд в своем документе вы должны закодировать его как "&" (даже внутри URL!). Будьте осторожны, чтобы закончить ссылки на объекты с точкой с запятой или ссылкой на вашу сущность могут интерпретируется в связи со следующим текстом. Также имейте в виду что ссылки на именованные сущности зависят от регистра; & Aelig; и & aelig; это разные персонажи. Если эта ошибка появляется в некоторой разметке сгенерированный кодом обработки сеанса PHP, эта статья имеет объяснения и решения вашей проблемы.

Прочитайте ответ с наибольшим количеством голосов. Атрибуты #PCDATA и, следовательно, анализируются. Объекты обрабатываются там. В вашем примере & запускает ссылку на сущность. После прочтения &qux синтаксический анализатор не находит окончательной точки с запятой ( ; ), но наталкивается на знак равенства ( = ), который не может быть частью имени объекта. Это должно быть ошибкой синтаксического анализа, если анализатор пытался быть очень строгим (согласно HTML 4). В HTML 5 разбор сущностей в целом более упрощен.
Я подозреваю, что в целом это лучше всего использовать ; по этой причине в качестве разделителя в строках запроса (когда вы управляете ссылкой).

dan04 · Answer 10 · 2010-08-20T00-16-00.000Z

Пару лет назад мы получили сообщение о том, что одно из наших веб-приложений неправильно отображалось в Firefox. Оказалось, что страница содержала тег, который выглядел как

<div style="..." ... style="...">

Когда вы сталкиваетесь с атрибутом повторяющегося стиля, IE объединяет оба стиля, в то время как Firefox использует только один из них, отсюда и другое поведение. Я изменил тег на

<div style="...; ..." ...>

и, конечно же, он исправил проблему! Мораль этой истории заключается в том, что браузеры имеют более последовательную обработку допустимого HTML, чем недействительный HTML. Итак, исправьте свою проклятую разметку! (Или используйте HTML Tidy, чтобы исправить его.)

Dean J · Answer 11 · 2010-08-16T15-03-00.000Z

Если пользователь передает его вам или он закроется в URL-адресе, вам нужно его избежать.

Если он отображается в статическом тексте на странице? Все браузеры получат это право в любом случае, вы не сильно беспокоитесь об этом, так как он будет работать.

Guffa · Answer 12 · 2010-08-16T13-56-00.000Z

Да, вы должны попытаться использовать действительный код, если это возможно.

Большинство браузеров будут тихо исправлять эту ошибку, но есть проблема с использованием обработки ошибок в браузерах. Существует не стандарт для обработки неправильного кода, поэтому каждый поставщик браузера пытается выяснить, что делать с каждой ошибкой, и результаты могут отличаться.

Некоторые примеры, когда браузеры могут реагировать по-разному, - это если вы помещаете элементы внутри таблицы, но вне ячеек таблицы, или если вы вставляете ссылки друг в друга.

В вашем конкретном примере это вряд ли вызовет какие-либо проблемы, но, возможно, исправление ошибок в браузере может привести к тому, что браузер изменится со стандартного режима совместимости на режим quirks, что может полностью раскрыть ваш макет.

Итак, вы должны исправить ошибки, подобные этому в коде, если не для чего-либо еще, чтобы сохранить список ошибок в валидаторе коротким, чтобы вы могли выявить более серьезные проблемы.

Richard Dufour · Answer 13 · 2014-07-10T19-33-00.000Z

Не уверен, что это полезно для всех... Я боролся с этим некоторое время... вот славное регулярное выражение, которое вы можете использовать, чтобы исправить все ваши ссылки, javascript, контент. Мне пришлось иметь дело с тонной частью старого контента, который никто не хотел исправлять.

Добавьте это к вашему переопределению Render на главной странице или в панели управления:

Пожалуйста, не плачьте меня, чтобы поместить это в неправильное место:

// remove the & from href="blaw?a=b&b=c" and replace with &amp; 
//in urls - this corrects any unencoded & not just those in URL's
// this match will also ignore any matches it finds within <script> blocks AND
// it will also ignore the matches where the link includes a javascript command like
// <a href="javascript:alert{'& & &'}">blaw</a>
html = Regex.Replace(html, "&(?!(?<=(?<outerquote>[\"'])javascript:(?>(?!\\k<outerquote>|[>]).)*)\\k<outerquote>?)(?!(?:[a-zA-Z][a-zA-Z0-9]*|#\\d+);)(?!(?>(?:(?!<script|\\/script>).)*)\\/script>)", "&amp;", RegexOptions.Singleline | RegexOptions.IgnoreCase);

Alex · Answer 14 · 2010-08-16T15-03-00.000Z

Если & используется в html, вам следует избегать его

Если & используется в строках javascript, например. a alert('This & that'); или document.href вам не нужно использовать его.

Если вы используете document.write, вы должны использовать его, например. document.write(this & that)

document.write следует избегать. Смотрите окно с предупреждением в w3.org/html/wg/drafts/html/master/dom.html#document.write%28%29
Хороший вопрос о document.write() . Но главное, что Алекс делает для записи в документ со сценариев, IMO. +1

Douglas · Answer 15 · 2010-08-16T13-22-00.000Z

Это зависит от вероятности того, что точка с запятой заканчивается рядом с вашим &, в результате чего она будет отображать что-то совсем другое.

Например, когда вы имеете дело с данными от пользователей (например, если вы включаете тему заголовка форума в теги заголовка), вы никогда не знаете, где они могут помещать случайные точки с запятой, и это может случайно отображать странные юридические лица. Поэтому всегда избегайте в этой ситуации.

Для вашего собственного статического html, конечно, вы можете пропустить его, но это так тривиально, чтобы включить правильное экранирование, чтобы не было никаких оснований его избегать.

Joachim Sauer · Answer 16 · 2010-08-16T14-20-00.000Z

Если, вы действительно говорите о статическом тексте

<title>Foo & Bar</title>

хранится в каком-либо файле на жестком диске и обслуживается непосредственно сервером, а затем да. Вероятно, его не нужно экранировать.

Однако, поскольку в настоящее время очень мало содержимого HTML, которое полностью статично, я добавлю следующий отказ от ответственности, предполагающий, что содержимое HTML создается из какого-то другого источника (содержимое базы данных, пользовательский ввод, результат вызова веб-службы, устаревший API результат,...):

Если вы не избежите простого &, то, скорее всего, вы также не избежите & или   или  или <script src="http://attacker.com/evil.js"> или любого другого недействительного текста. Это означает, что вы в лучшем случае неправильно отображаете свой контент и, скорее всего, подозреваете атаки XSS.

Другими словами: когда вы уже проверяете и избегаете других более проблемных случаев, тогда почти нет причин оставлять не полностью-сломанный, но все же несколько-одичалый автономный & неэкранированный.

@Downvoter: хотите прокомментировать?
Я не понизил голос, но, если бы мне пришлось угадывать, я бы сказал, что за вас проголосовали, потому что ваш ответ (хотя и умный) немного не соответствует вопросу. Он не спрашивает о том, чтобы избежать пользовательского ввода. Он контролирует персонажей и в основном спрашивает: «Если он делает то, что я хочу, действительно ли важно следовать спецификации языка к букве?» То есть он знает, что есть &, потому что он вставил его.
@Matt: я вижу, и это было бы разумно. Я просто предполагал, что никто больше не пишет полностью статические HTML-страницы и что почти весь контент, по крайней мере, несколько динамический (обычно основанный на некотором содержимом базы данных). Возможно, это предположение следовало сделать явным.

mathin · Answer 17 · 2017-04-24T11-51-00.000Z

В ссылке есть довольно хороший пример того, когда и почему вам может понадобиться избежать & до &

https://jsfiddle.net/vh2h7usk/1/

Интересно, что мне пришлось скрыться от персонажа, чтобы правильно представить его в моем ответе. Если бы я использовал встроенный образец кода (из панели ответов), я могу просто ввести & и он появится как следует. Но если бы мне пришлось вручную использовать элемент <code></code>, тогда мне нужно убежать, чтобы правильно его представить:)