658 Stimmen

Page avatar

HTML-Zeichenfolgen mit jQuery umbrechen

Gefragt el 24 de August, 2008
Wann wurde die Frage gestellt
730675 Ansichten
Anzahl der Besuche der Frage
2 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Kennt jemand eine einfache Möglichkeit, HTML aus Strings in jQuery ? Ich muss in der Lage sein, eine beliebige Zeichenfolge zu übergeben und haben es richtig für die Anzeige in einer HTML-Seite (Verhinderung von JavaScript/HTML-Injection-Angriffe) escaped. Ich bin sicher, es ist möglich, jQuery zu erweitern, um dies zu tun, aber ich weiß nicht genug über das Framework im Moment, um dies zu erreichen.

Gefragt el 24 de August, 2008 von Page

0 Stimmen

Avatar von Christophe Roussy

Siehe auch Perf: jsperf.com/

Kommentiert el 27 de Oktober, 2015 von Christophe Roussy

Antworten

Zu viele Anzeigen?

-2voto

Cees Timmerman avatar
Cees Timmerman Punkte 15076

Diese Antwort bietet die jQuery- und die normalen JS-Methoden, aber dies ist die kürzeste Methode ohne Verwendung des DOM:

unescape(escape("It's > 20% less complicated this way."))

Entkommene Zeichenfolge: It%27s%20%3E%2020%25%20less%20complicated%20this%20way.

Wenn Sie die Leerzeichen stören, versuchen Sie es:

unescape(escape("It's > 20% less complicated this way.").replace(/%20/g, " "))

Entkommene Zeichenfolge: It%27s %3E 20%25 less complicated this way.

Leider ist die escape() Funktion war veraltet in JavaScript Version 1.5 . encodeURI() o encodeURIComponent() sind Alternativen, aber sie ignorieren ' so dass die letzte Zeile des Codes wie folgt aussehen würde:

decodeURI(encodeURI("It's > 20% less complicated this way.").replace(/%20/g, " ").replace("'", '%27'))

Alle wichtigen Browser unterstützen immer noch den Kurzcode, und angesichts der vielen alten Websites wird sich das wohl auch nicht so bald ändern.

Beantwortet el 18 de September, 2012 von Cees Timmerman (15076 Punkte )

0 Stimmen

Avatar von thelem

Dies ist für die URL-Kodierung. Die Frage bezog sich auf HTML-Escaping, was etwas ganz anderes ist.

Kommentiert el 15 de Oktober, 2015 von thelem

0 Stimmen

Avatar von Cees Timmerman

@thelem, nicht, wenn die Strings in JavaScript-Arrays eingebettet sind, die in HTML eingebettet sind, aber ich stimme zu, dass es um einfaches HTML-Escaping ging, damit es sofort als Text angezeigt werden kann.

Kommentiert el 15 de Oktober, 2015 von Cees Timmerman

-3voto

Kauê Gimenes avatar
Kauê Gimenes Punkte 1242

Wenn Sie diese Informationen in einem Datenbank ist es falsch, HTML mit einer Client-seitig Skript zu erstellen, sollte dies in der Server . Andernfalls ist es leicht, den XSS-Schutz zu umgehen.

Um meinen Standpunkt zu verdeutlichen, hier ein Beispiel mit einer der Antworten:

Nehmen wir an, Sie verwenden die Funktion escapeHtml, um das Html eines Kommentars in Ihrem Blog zu entschlüsseln und ihn dann auf Ihrem Server zu veröffentlichen.

var entityMap = {
    "&": "&",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
  };

  function escapeHtml(string) {
    return String(string).replace(/[&<>"'\/]/g, function (s) {
      return entityMap[s];
    });
  }

Der Benutzer könnte:

  • Bearbeiten Sie die POST-Anforderungsparameter und ersetzen Sie den Kommentar durch Javascript-Code.
  • Überschreiben Sie die Funktion escapeHtml über die Browserkonsole.

Wenn der Benutzer dieses Snippet in die Konsole einfügt, umgeht er die XSS-Validierung:

function escapeHtml(string){
   return string
}
Beantwortet el 6 de Marsch, 2015 von Kauê Gimenes (1242 Punkte )

0 Stimmen

Avatar von ItalyPaleAle

Da bin ich anderer Meinung. Um diesen XSS-Schutz zu umgehen, müsste man einen XSS-Angriff durchführen (ein Skript einschleusen, das das Escaping deaktiviert), und das ist es, was Sie eigentlich blockieren. In bestimmten Fällen ist es tatsächlich sinnvoller, das Escaping auf dem Client durchzuführen, z. B. wenn die Daten von einer REST-API stammen, die Standard-JSON zurückgeben muss.

Kommentiert el 13 de Marsch, 2015 von ItalyPaleAle

0 Stimmen

Avatar von Kauê Gimenes

@Qualcuno Wenn Sie diese Validierung im Client durchführen und diese Informationen im Vertrauen auf die Validierung an den Server senden, könnte der Benutzer die Anfrage einfach bearbeiten, und das Skript würde in der Datenbank gespeichert werden.

Kommentiert el 13 de Marsch, 2015 von Kauê Gimenes

0 Stimmen

Avatar von Kauê Gimenes

@Qualcuno Ich habe einige Beispiele hinzugefügt, um meinen Standpunkt zu verdeutlichen.

Kommentiert el 13 de Marsch, 2015 von Kauê Gimenes
Anzeigen 3 weitere Kommentare

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X