658 Stimmen

Page avatar

HTML-Zeichenfolgen mit jQuery umbrechen

Gefragt el 24 de August, 2008
Wann wurde die Frage gestellt
730670 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Kennt jemand eine einfache Möglichkeit, HTML aus Strings in jQuery ? Ich muss in der Lage sein, eine beliebige Zeichenfolge zu übergeben und haben es richtig für die Anzeige in einer HTML-Seite (Verhinderung von JavaScript/HTML-Injection-Angriffe) escaped. Ich bin sicher, es ist möglich, jQuery zu erweitern, um dies zu tun, aber ich weiß nicht genug über das Framework im Moment, um dies zu erreichen.

Gefragt el 24 de August, 2008 von Page

0 Stimmen

Avatar von Christophe Roussy

Siehe auch Perf: jsperf.com/

Kommentiert el 27 de Oktober, 2015 von Christophe Roussy

Antworten

Zu viele Anzeigen?

662voto

Tom Gruner avatar
Tom Gruner Punkte 9445

Außerdem gibt es die Lösung aus mustache.js

var entityMap = {
  '&': '&',
  '<': '&lt;',
  '>': '&gt;',
  '"': '&quot;',
  "'": '&#39;',
  '/': '&#x2F;',
  '`': '&#x60;',
  '=': '&#x3D;'
};

function escapeHtml (string) {
  return String(string).replace(/[&<>"'`=\/]/g, function (s) {
    return entityMap[s];
  });
}
Beantwortet el 20 de August, 2012 von Tom Gruner (9445 Punkte )

0 Stimmen

Avatar von Tony Patino

Sorry zu stören, aber gibt es irgendwie kann dies rückgängig gemacht werden? ich weiß nicht, regex so ich brauche Hilfe

Kommentiert el 29 de Januar, 2022 von Tony Patino

488voto

travis avatar
travis Punkte 34588

Da Sie die jQuery können Sie einfach den Wert des Elements text Eigentum:

// before:
// <div class="someClass">text</div>
var someHtmlString = "<script>alert('hi!');</script>";

// set a DIV's text:
$("div.someClass").text(someHtmlString);
// after: 
// <div class="someClass">&lt;script&gt;alert('hi!');&lt;/script&gt;</div>

// get the text in a string:
var escaped = $("<div>").text(someHtmlString).html();
// value: 
// &lt;script&gt;alert('hi!');&lt;/script&gt;
Beantwortet el 24 de August, 2008 von travis (34588 Punkte )

1 Stimmen

Avatar von paaacman

Ist es sicher? linkedin.com/pulse/

Kommentiert el 18 de Januar, 2022 von paaacman

0 Stimmen

Avatar von travis

@paaacman Einstellung der Eigenschaft mit jQuery unter Verwendung von .text() o .attr() ist sicher, aber bei der Erstellung einer HTML-Zeichenkette wie in diesem Beispiel würden Sie definitiv auf Probleme stoßen.

Kommentiert el 19 de Januar, 2022 von travis

185voto

Henrik N avatar
Henrik N Punkte 14805 
$('<div/>').text('This is fun & stuff').html(); // "This is fun &amp; stuff"

Fuente: http://debuggable.com/posts/encode-html-entities-with-jquery:480f4dd6-13cc-4ce9-8071-4710cbdd56cb

Beantwortet el 17 de Dezember, 2008 von Henrik N (14805 Punkte )

12 Stimmen

Avatar von geofflee

Wie in der obigen Antwort erwähnt, ist bei dieser Lösung nicht gewährleistet, dass Leerzeichen erhalten bleiben.

Kommentiert el 24 de Marsch, 2011 von geofflee

61voto

tghw avatar
tghw Punkte 24707

Wenn Sie für HTML flüchten wollen, gibt es nur drei, die wirklich notwendig sind:

html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

Je nach Anwendungsfall müssen Sie möglicherweise auch Dinge tun wie " à &quot; . Wenn die Liste groß genug ist, würde ich einfach ein Array verwenden:

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]
for(var item in findReplace)
    escaped = escaped.replace(findReplace[item][0], findReplace[item][1]);

encodeURIComponent() wird nur für URLs, nicht für HTML, entschlüsselt.

Beantwortet el 24 de August, 2008 von tghw (24707 Punkte )

14 Stimmen

Avatar von Ryan

Dieser reguläre Ausdruck führt zu seltsamen Ergebnissen, wenn der betreffende HTML-Code bereits maskierte Elemente enthält. Zum Beispiel wird das Escapen von "Tom & Jerry" zu "Tom & Jerry" führen.

Kommentiert el 7 de November, 2010 von Ryan

12 Stimmen

Avatar von Marcel Korpel

Bitte verwenden Sie var zu deklarieren item lokal; verwenden Sie jedenfalls keine for … in Schleife beim Durchlaufen eines Arrays überhaupt nicht! Verwenden Sie eine gewöhnliche for stattdessen eine Schleife. Oh, und es ist encodeURIComponent , nicht escapeURIComponent .

Kommentiert el 16 de Marsch, 2011 von Marcel Korpel

3 Stimmen

Avatar von geofflee

Wenn Sie mit Tag-Attributen arbeiten, müssen Sie auch Anführungszeichen und/oder doppelte Anführungszeichen vermeiden. Die PHP-Dokumentation für htmlspecialchars enthält eine nützliche Liste der Konvertierungen, die es durchführt. php.net/htmlspecialchars

Kommentiert el 24 de Marsch, 2011 von geofflee
Anzeigen 5 weitere Kommentare

43voto

chovy avatar
chovy Punkte 64969

Es ist einfach, einen Unterstrich zu verwenden:

_.escape(string)

Unterstrich ist eine Hilfsbibliothek, die viele Funktionen bietet, die native js nicht bietet. Es gibt auch lodash die die gleiche API wie underscore ist, aber umgeschrieben wurde, um leistungsfähiger zu sein.

Beantwortet el 12 de September, 2013 von chovy (64969 Punkte )

2 Stimmen

Avatar von qräbnö

Und die Umkehrung lautet _.unescape(string) .

Kommentiert el 21 de Januar, 2021 von qräbnö

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X