devbox
花生_TL007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

HTML中的字符串转义_html转义

作者:花生_TL007 | 2024-02-16 11:57:40

html转义

为什么要转义?

转义可以防止 xss 攻击。接下来,我们来看一下如何转义。

HTML Sanitizer API

Sanitizer 是浏览器自带的转义方法,在2021年初被提出,兼容性问题很大。

列举几个常用的 API: 

  1. const $div = document.querySelector('div');
  2. const user_input = `<em>Hello There</em><img src="" onerror=alert(0)>`;
  3. const sanitizer = new Sanitizer() 
  4.  
  5. $div.setHTML(user_input, sanitizer); // <div><em>Hello There</em><img src=""></div>
  1. const user_input = `<em>Hello There</em><img src="" onerror=alert(0)>`
  2. const sanitizer = new Sanitizer()
  3.  
  4. sanitizer.sanitizeFor("div", user_input) // HTMLDivElement <div>
  5.  
  6. sanitizer.sanitizeFor("div", user_input).innerHTML // <em>Hello There</em><img src="">

自定义方法进行转义

这是一个简单的转义,只会把跟 html 有冲突的标签进行转义。

  1. const escapeMap = {
  2.   //'&': '&amp;',
  3.   '<': '&lt;',
  4.   '>': '&gt;',
  5.   '"': '&quot;',
  6.   "'": '&#x27;'
  7. };
  8.  
  9. function escape(string = '') {
  10.   const reg = new RegExp(`[${Object.keys(escapeMap).join('')}]`, 'g');
  11.   return string.replace(reg, item => escapeMap[item]);
  12. }

防止用户输入恶意篡改,Vue,JSX 默认情况下不用处理,插入的文本都是按照字符串处理。Vue中用 v-html 引入的内容要做转义。

第三方库转义

DOMPurify

转义库里面 GitHub star 最多,11.5k。

  1. const user_input = '<em>Hello There</em><img src="" onerror=alert(0)>';
  2. const cleanedHtml = DOMPurify.sanitize(user_input); // <em>Hello There</em><img src="">

还可以根据需要定义自己的白名单(允许的标签)和属性,比如字符串中包含自定义标签和属性时就需要用到。

js-xss

sanitize-html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/92952
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号