2. 程式人生 > >js轉義和反轉義html

js轉義和反轉義html

阿新 發佈:2017-07-01
想要 def reg job 實體 margin wan ccid tor

本文地址: http://www.cnblogs.com/daysme/p/7100553.html

下面的代碼網上常用有,但不是想要的。

JS實現HTML標簽轉義及反轉義

http://blog.csdn.net/wangyuheng77/article/details/50315051

簡單說一下業務場景,前臺用戶通過input輸入內容,在離開焦點時,將內容在div中顯示。
這時遇到一個問題,如果用戶輸入了html標簽,則在div顯示中,標簽被解析。
由於是純前端操作,不涉及後端,因此需要通過js對輸入內容進行轉義。

這裏提供一個非常簡單有效的轉義方案,利用了innerHTML和innerText

註:火狐不支持innerText,需要使用 textContent 屬性,而IE早期版本不支持此屬性,為了同時兼容IE及火狐,需要進行判斷操作.

因為innerText(textContent)會獲取純文本內容,忽略html節點標簽,而innerHTML會顯示標簽內容,
所以我們先將需轉義的內容賦值給innerText(textContent),再獲取它的innerHTML屬性,這時獲取到的就是轉義後文本內容。
代碼如下:

//HTML轉義
function HTMLEncode(html) {
var temp = document.createElement("div");
(temp.textContent != null
 
) ? (temp.textContent = html) : (temp.innerText = html);
var output = temp.innerHTML;
temp = null;
return output;
}

var tagText = "<p><b>123&456</b></p>";
console.log(HTMLEncode(tagText));//&lt;p&gt;&lt;b&gt;123&amp;456&lt;/b&gt;&lt;/p&gt;

通過測試結果,可以看到html標簽及&符都被轉義後保存。
同理,反轉義的方法為先將轉義文本賦值給innerHTML,然後通過innerText(textContent)獲取轉義前的文本內容

//HTML反轉義
function HTMLDecode(text) { 
var temp = document.createElement("div"); 
temp.innerHTML = text; 
var output = temp.innerText || temp.textContent; 
temp = null; 
return output; 
} 
var tagText = "<p><b>123&456</b></p>";
var encodeText = HTMLEncode(tagText);
console.log(encodeText);//&lt;p&gt;&lt;b&gt;123&amp;456&lt;/b&gt;&lt;/p&gt;
console.log(HTMLDecode(encodeText)); //<p><b>123&456</b></p>

當 HTMLDecode(‘1<’) 時返回了 1< ,而我希望希望 1< ,也就是只轉義實體字符,而不是做解析。

下面是個人適合的轉義:

用Javascript進行HTML轉義

http://blog.chinaunix.net/uid-20511797-id-3118652.html

眾所周知頁面上的字符內容通常都需要進行HTML轉義才能正確顯示,尤其對於Input,Textarea提交的內容,更是要進行轉義以防止javascript註入攻擊。
通常的HTML轉義主要是針對內容中的”<”,”>”,”&”,以及空格、單雙引號等。但其實還有很多字符也需要進行轉義。具體的可以參考這篇文章。

1、HTML轉義

參考上面的提到的文章,基本上可以確定以下的轉義的範圍和方式。

1)對”\””、”&”、”‘“、”<”、”>”、空格(0x20)、0x00到0x20、0x7F-0xFF
以及0x0100-0x2700的字符進行轉義,基本上就覆蓋的比較全面了。

用javascript的正則表達式可以寫為:

this.REGX_HTML_ENCODE = /“|&|’|<|>|[\x00-\x20]|[\x7F-\xFF]|[\u0100-\u2700]/g;

2)為保證轉義結果對瀏覽器的無差別,轉義編碼為實體編號,而不用實體名稱。

3)空格(0x20)通常轉義為“ ”也就是“ ”。

轉義的代碼非常簡單:

    this.encodeHtml = function(s){
          return (typeof s != "string") ? s :
              s.replace(this.REGX_HTML_ENCODE,
                        function($0){
                            var c = $0.charCodeAt(0), r = ["&#"];
                            c = (c == 0x20) ? 0xA0 : c;
                            r.push(c); r.push(";");
                            return r.join("");
                        });
      };

2、反轉義

既然有轉義,自然需要反轉義。

1) 對“&#num;”實體編號的轉義,直接提取編號然後fromCharCode就可以得到字符。

2) 對於諸如“<”,需要建立一張如下的表來查詢。

    this.HTML_DECODE = {
         "&lt;"  : "<", 
         "&gt;"  : ">", 
         "&amp;" : "&", 
         "&nbsp;": " ", 
         "&quot;": "\"", 
         "&copy;": "©"

         // Add more
    };

由此我們可以有反轉義的正則表達式:

this.REGX_HTML_DECODE = /&\w+;|&#(\d+);/g;

反轉的代碼也很簡單,如下:

    this.decodeHtml = function(s){
          return (typeof s != "string") ? s :
              s.replace(this.REGX_HTML_DECODE,
                        function($0,$1){
                            var c = this.HTML_ENCODE[$0]; // 嘗試查表
                            if(c === undefined){
                                // Maybe is Entity Number
                                if(!isNaN($1)){
                                    c = String.fromCharCode(($1 == 160) ? 32 : $1);
                                }else{
                                    // Not Entity Number
                                    c = $0;
                                }
                            }
                            return c;
                        });
      };

3、一個有意思的認識

其實在用正則表達式轉義之前,我一直都是用遍歷整個字符串,逐個比較字符的方式。直到有一天,看到一篇文章說,javascript正則表達式是C實現的,比自己用javascript遍歷字符要快,於是我就試著改寫成上面這種方式。雖然代碼看起來的確顯得神秘而又牛叉,但遺憾的是,在我的Chrome 11 (FreeBSD 64 9.0)上,遍歷字符轉義/反轉的方式要比上面正則表達式的代碼快2到3倍(字符串長度越長越明顯)。其實,想想也能明白為什麽。

4、完整版本的代碼

    $package("js.lang"); // 沒有包管理時,也可簡單寫成 js = {lang:{}};

    js.lang.String = function(){

        this.REGX_HTML_ENCODE = /"|&|‘|<|>|[\x00-\x20]|[\x7F-\xFF]|[\u0100-\u2700]/g;

        this.REGX_HTML_DECODE = /&\w+;|&#(\d+);/g;

        this.REGX_TRIM = /(^\s*)|(\s*$)/g;

        this.HTML_DECODE = {
            "&lt;" : "<", 
            "&gt;" : ">", 
            "&amp;" : "&", 
            "&nbsp;": " ", 
            "&quot;": "\"", 
            "&copy;": ""

            // Add more
        };

        this.encodeHtml = function(s){
            s = (s != undefined) ? s : this.toString();
            return (typeof s != "string") ? s :
                s.replace(this.REGX_HTML_ENCODE, 
                          function($0){
                              var c = $0.charCodeAt(0), r = ["&#"];
                              c = (c == 0x20) ? 0xA0 : c;
                              r.push(c); r.push(";");
                              return r.join("");
                          });
        };

        this.decodeHtml = function(s){
            var HTML_DECODE = this.HTML_DECODE;

            s = (s != undefined) ? s : this.toString();
            return (typeof s != "string") ? s :
                s.replace(this.REGX_HTML_DECODE,
                          function($0, $1){
                              var c = HTML_DECODE[$0];
                              if(c == undefined){
                                  // Maybe is Entity Number
                                  if(!isNaN($1)){
                                      c = String.fromCharCode(($1 == 160) ? 32:$1);
                                  }else{
                                      c = $0;
                                  }
                              }
                              return c;
                          });
        };

        this.trim = function(s){
            s = (s != undefined) ? s : this.toString();
            return (typeof s != "string") ? s :
                s.replace(this.REGX_TRIM, "");
        };

        this.hashCode = function(){
            var hash = this.__hash__, _char;
            if(hash == undefined || hash == 0){
                hash = 0;
                for (var i = 0, len=this.length; i < len; i++) {
                    _char = this.charCodeAt(i);
                    hash = 31*hash + _char;
                    hash = hash & hash; // Convert to 32bit integer
                }
                hash = hash & 0x7fffffff;
            }
            this.__hash__ = hash;

            return this.__hash__; 
        };

    };

    js.lang.String.call(js.lang.String);

在實際的使用中可以有兩種方式:

1)使用js.lang.String.encodeHtml(s)和js.lang.String.decodeHtml(s)。

2)還可以直接擴展String的prototype

    js.lang.String.call(String.prototype);

      // 那麽

      var str = "<B>&‘\"中國</B>abc def";

      var ec_str = str.encodeHtml();

      document.write(ec_str);

      document.write("<bt><bt>"); // CU的博客在線編輯有bug,
    放不上來!!!

      var dc_str = ec_str.decodeHtml();

      document.write(dc_str);

其他

    function html_encode(str) 
    { 
        var s = ""; 
        if (str.length == 0) return ""; 
        s = str.replace(/&/g, "&amp;"); 
        s = s.replace(/</g, "&lt;"); 
        s = s.replace(/>/g, "&gt;"); 
        s = s.replace(/ /g, "&nbsp;"); 
        s = s.replace(/\‘/g, "&#39;"); 
        s = s.replace(/\"/g, "&quot;"); 
            s = s.replace(/\n/g, "<br/>"); 
        return s; 
    } 

    function html_decode(str) 
    { 
        var s = ""; 
        if (str.length == 0) return ""; 
        s = str.replace(/&amp;/g, "&"); 
        s = s.replace(/&lt;/g, "<"); 
        s = s.replace(/&gt;/g, ">"); 
        s = s.replace(/&nbsp;/g, " "); 
        s = s.replace(/&#39;/g, "\‘"); 
        s = s.replace(/&quot;/g, "\""); 
        s = s.replace(/<br\/>/g, "\n"); 
        return s; 
    } 



    console.log(html_decode(‘&lt;div&gt;123&lt;/div&gt;‘)); 
    console.log(html_encode(html_decode(‘&lt;div&gt;123&lt;/div&gt;‘)));

【轉義字符】HTML 字符實體< &gt: &等

http://www.cnblogs.com/LiuLiangXuan/p/5212155.html

在開發中遇到javascript從後臺獲取的url 會被轉義,如:http://localhost:8080/Home/Index?a=14&b=15&c=123,想把它轉成http://localhost:8080/Home/Index?a=14&b=15&c=123

網上找了半天的解決方案:

轉義分為escapeHTML和unescapeHTML,先看兩個函數的實現。

js代碼:

    /**
     * @function escapeHTML 轉義html腳本 < > & " ‘
     * @param a -
     *            字符串
     */
    escapeHTML: function(a){
        a = "" + a;
        return a.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;").replace(/"/g, "&quot;").replace(/‘/g, "&apos;");;
    },
    /**
     * @function unescapeHTML 還原html腳本 < > & " ‘
     * @param a -
     *            字符串
     */
    unescapeHTML: function(a){
        a = "" + a;
        return a.replace(/&lt;/g, "<").replace(/&gt;/g, ">").replace(/&amp;/g, "&").replace(/&quot;/g, ‘"‘).replace(/&apos;/g, "‘");
    },

1,escapeHTML將< > & “ ‘轉成字符實體
使用場景:
(1)用戶在頁面中錄入(比如輸入框) , js將該內容提交給後端保存
(2)顯示時,後端將字符串返回前端;js接收到之後:
a, 使用escapeHTML,將字符串轉為 <script>alert(2);</script>此時,瀏覽器將能正確解析,因為瀏覽器接收到實體字符後,轉成對應的尖括號等。
b, 不使用escapeHTML,瀏覽器一看到<,便認為是html標簽的開始,直接把剛才的字符串當腳本執行了,這就是xss漏洞。

2,unescapeHTML將字符實體轉成< > & “ ‘
使用場景:
後端將已經轉義後的內容顯示到頁面;比如<script>alert(2);</script>
js收到後:
a,前端進行unescapeHTML,則可以直接dom操作,將標簽顯示到頁面。
b,前端沒有unescapeHTML,則原樣輸出,但此時並沒有執行。

轉義字符:

提示:使用實體名而不是數字的好處是,名稱易於記憶。不過壞處是,瀏覽器也許並不支持所有實體名稱(對實體數字的支持卻很好)。

?

js轉義和反轉義html

相關推薦

js轉義轉義html

想要 def reg job 實體 margin wan ccid tor 本文地址: http://www.cnblogs.com/daysme/p/7100553.html 下面的代碼網上常用有,但不是想要的。 JS實現HTML標簽轉義及反轉義

JSHTML字元的轉義轉義

var HtmlUtil = { /*1.用瀏覽器內部轉換器實現html轉碼*/ htmlEncode:function (html){ //1.首先動態建立一個容器標籤元素,如DIV var temp = document.c

html字元進行轉義轉義---工具類StringEscapeUtils

org.apache.commons.lang.StringEscapeUtils類可以對js sql html xml等程式碼進行轉義和反轉義 相關方法如下: StringEscapeUtils.escapeJava

java實現HTML標籤轉義轉義(StringEscapeUtils)

轉義:有時需要對帶有格式的長文字(如個人文章或評論等)進行轉義後儲存到資料庫表中。       例如:String EsHtml="<p>我的<br/>評論</p>";                  轉義後為"&lt;p&am

轉義轉義

簡單說一下業務場景,前臺使用者通過 input 輸入內容,在離開焦點時,將內容在 div 中顯示。 這時遇到一個問題,如果使用者輸入了 html 標籤,則在 div 顯示中,標籤被解析。 由於是純前端操作,不涉及後端,因此需要通過 js 對輸入內容進行轉義。

jquery與php的HTML轉義轉義

png IE style 雙引號 ons class text 反轉 special 1.jquery (1)Html轉義 var tmp = ‘<a href="https://www.baidu.com/">連接</a>‘; v

關於在php中html標籤的轉換問題的解決,轉義轉義

 很多朋友在寫php的時候,難免會遇到需要將html標籤進行轉義儲存。比如存入資料庫、xml檔案等。而儲存進去後,讀取出來則需要轉換成html輸出。網上有許多人編寫的轉換函式,很長很難懂。其實php早就自帶有這樣的函式。大可不必自己編寫。 下面分別介紹這兩個函式。 1

利用StringEscapeUtils對字串進行各種轉義轉義(Java)

       apache工具包common-lang中有一個很有用的處理字串的工具類,其中之一就是StringEscapeUtils,這個工具類是在2.3版本以上加上的去的,利用它能很方便的進行ht

Java URL 轉義轉義

1:轉義 @org.junit.Test public void testEncode(){ String url="http://192.168.0.19:8888/cas

PHP 轉義轉義函式

以上兩行程式碼即可實現php向mysql資料庫插入資料轉義操作。get_magic_quotes_gpc()在PHP中get_magic_quotes_gpc()函式是內建的函式,這個函式的作用就是得到php.ini設定中magic_quotes_gpc選項的值。那麼就先說一下magic_quotes_gpc

PHP 轉義轉義函式(入庫操作)

以上兩行程式碼即可實現php向mysql資料庫插入資料轉義操作。 get_magic_quotes_gpc() 在PHP中get_magic_quotes_gpc()函式是內建的函式,這個函式的作用就是得到php.ini設定中magic_quotes_gpc選項的值。 那麼就先說一下magic_quotes_

&轉義轉義

span 內容會作為html 解析,其他資料沒問題,url 就不行了,url 中的& 會被解釋成 & amp; 而上傳到伺服器, 解決文案 用自定義標籤即可 典型程式碼 <span id="link_${status.in

js使用轉義符技巧輸出HTML

  有時候我們需要使用js輸出html程式碼,會涉及一些標籤、變數。 對於很長的html程式碼,為了讓js具有較好的可讀性,需要在js裡對html程式碼進行一定的拆分、拼接。 簡單明瞭版 通常我們這樣做 var div

js中特殊符號轉義(base64作為引數url作為引數傳遞要注意的問題)

+ 空格 / ? % & = # %2B %20 %2F %3F %25 %26 &3D %23 str = str.replace(/\+/g,"%2B"); 將+號替換為十六進位制 1.當圖片base64碼作為引數

js實現復選框的全選、全部選

item itl true mon 復選框 loading 實現 align inpu 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta chars

js react 全選

.get document con asc cli length record bin highlight onCheckAll = (data) => { var CheckBox = document.getElementsByName(data);

[js高手之路]Node.js模板引擎教程-jade速學與實戰2-流程控制,轉義與非轉義

title 學習 != 下一步 cas ase spa back name 一、轉義與非轉義 jade模板文件代碼: 1 doctype html 2 html 3 head 4 meta(charset=‘utf-8‘)

轉義字符變成html內容

col document get news style ner color 轉義 element 轉義字符互轉 <div id="my"></div> <div id="he" style="display:none"><

js序列化及轉義

JS的序列化:     JSON.stringify()  將物件轉換為字串     JSON.parse()  將字串轉換為物件型別 轉義:     decod

js高階函式應用—函式柯里化柯里化

轉載自shunfa888 在Lambda演算(一套數理邏輯的形式系統,具體我也沒深入研究過)中有個小技巧:假如一個函式只能收一個引數,那麼這個函式怎麼實現加法呢,因為高階函式是可以當引數傳遞和返回值的,所以問題就簡化為:寫一個只有一個引數的函式,而這個函式返回一個帶引數的函