思享工具箱

用Javascript进行HTML转义(分享)

摘要:
众所周知,页面上的字符内容通常需要从HTML中转义才能正确显示,特别是对于Input和Textarea提交的内容,以防止javascript注入攻击**1。请参阅上面提到的文章了解HTML转义。基本上可以确定以下转义的范围和方法。使用javascript的正则表达式可以写成:this REGX_ HTML_ ENCODE=/“|&|'|。
  众所周知页面上的字符内容通常都需要进行HTML转义才能正确显示,尤其对于Input,Textarea提交的内容,更是要进行转义以防止javascript注入攻击。
  通常的HTML转义主要是针对内容中的"<",">","&",以及空格、单双引号等。但其实还有很多字符也需要进行转义。具体的可以参考这篇文章。
 
** 1、HTML转义
 
  参考上面的提到的文章,基本上可以确定以下的转义的范围和方式。
 
  1)对"""、"&"、"'"、"<"、">"、空格(0x20)、0x00到0x20、0x7F-0xFF
  以及0x0100-0x2700的字符进行转义,基本上就覆盖的比较全面了。
  
   用javascript的正则表达式可以写为:
 
this.REGX_HTML_ENCODE = /"|&|'|<|>|[x00-x20]|[x7F-xFF]|[u0100-u2700]/g;
 
  2)为保证转义结果对浏览器的无差别,转义编码为实体编号,而不用实体名称。
  
  3)空格(0x20)通常转义为“&nbsp;”也就是“&#160;”。
 
  转义的代码非常简单:
 
  this.encodeHtml = function(s){
      return (typeof s != "string") ? s :
          s.replace(this.REGX_HTML_ENCODE,
                    function($0){
                        var c = $0.charCodeAt(0), r = ["&#"];
                        c = (c == 0x20) ? 0xA0 : c;
                        r.push(c); r.push(";");
                        return r.join("");
                    });
  };
 
** 2、反转义
 
  既然有转义,自然需要反转义。
 
  1) 对“&#num;”实体编号的转义,直接提取编号然后fromCharCode就可以得到字符。
 
  2) 对于诸如“&lt;”,需要建立一张如下的表来查询。
 
    this.HTML_DECODE = {
        "&lt;"  : "<", 
        "&gt;"  : ">", 
        "&amp;" : "&", 
        "&nbsp;": " ", 
        "&quot;": """, 
        "&copy;": "©"

        // Add more
    };
 
  由此我们可以有反转义的正则表达式:
 
this.REGX_HTML_DECODE = /&w+;|&#(d+);/g;
 
  反转的代码也很简单,如下:
 
this.decodeHtml = function(s){
      return (typeof s != "string") ? s :
          s.replace(this.REGX_HTML_DECODE,
                    function($0,$1){
                        var c = this.HTML_ENCODE[$0]; // 尝试查表
                        if(c === undefined){
                            // Maybe is Entity Number
                            if(!isNaN($1)){
                                c = String.fromCharCode(($1 == 160) ? 32:$1);
                            }else{
                                // Not Entity Number
                                c = $0;
                            }
                        }
                        return c;
                    });
  };
 
** 3、一个有意思的认识
 
  其实在用正则表达式转义之前,我一直都是用遍历整个字符串,逐个比较字符的方式。直到有一天,看到一篇文章说,javascript正则表达式是C实现 的,比自己用javascript遍历字符要快,于是我就试着改写成上面这种方式。虽然代码看起来的确显得神秘而又牛叉,但遗憾的是,在我的Chrome 11 (FreeBSD 64 9.0)上,遍历字符转义/反转的方式要比上面正则表达式的代码快2到3倍(字符串长度越长越明显)。其实,想想也能明白为什么。
 
** 4、完整版本的代码
 
$package("js.lang"); // 没有包管理时,也可简单写成 js = {lang:{}};

js.lang.String = function(){

    this.REGX_HTML_ENCODE = /"|&|'|<|>|[x00-x20]|[x7F-xFF]|[u0100-u2700]/g;

    this.REGX_HTML_DECODE = /&w+;|&#(d+);/g;

    this.REGX_TRIM = /(^s*)|(s*$)/g;

    this.HTML_DECODE = {
        "&lt;" : "<", 
        "&gt;" : ">", 
        "&amp;" : "&", 
        "&nbsp;": " ", 
        "&quot;": """, 
        "&copy;": ""

        // Add more
    };

    this.encodeHtml = function(s){
        s = (s != undefined) ? s : this.toString();
        return (typeof s != "string") ? s :
            s.replace(this.REGX_HTML_ENCODE, 
                      function($0){
                          var c = $0.charCodeAt(0), r = ["&#"];
                          c = (c == 0x20) ? 0xA0 : c;
                          r.push(c); r.push(";");
                          return r.join("");
                      });
    };

    this.decodeHtml = function(s){
        var HTML_DECODE = this.HTML_DECODE;

        s = (s != undefined) ? s : this.toString();
        return (typeof s != "string") ? s :
            s.replace(this.REGX_HTML_DECODE,
                      function($0,$1){
                          var c = HTML_DECODE[$0];
                          if(c == undefined){
                              // Maybe is Entity Number
                              if(!isNaN($1)){
                                  c = String.fromCharCode(($1==160)?32:$1);
                              }else{
                                  c = $0;
                              }
                          }
                          return c;
                      });
    };

    this.trim = function(s){
        s = (s != undefined) ? s : this.toString();
        return (typeof s != "string") ? s :
            s.replace(this.REGX_TRIM, "");
    };


    this.hashCode = function(){
        var hash = this.__hash__, _char;
        if(hash == undefined || hash == 0){
            hash = 0;
            for (var i = 0, len=this.length; i < len; i++) {
                _char = this.charCodeAt(i);
                hash = 31*hash + _char;
                hash = hash & hash; // Convert to 32bit integer
            }
            hash = hash & 0x7fffffff;
        }
        this.__hash__ = hash;

        return this.__hash__; 
    };

};

js.lang.String.call(js.lang.String);
 
 
   在实际的使用中可以有两种方式:
 
  1)使用js.lang.String.encodeHtml(s)和js.lang.String.decodeHtml(s)。
 
  2)还可以直接扩展String的prototype
   
js.lang.String.call(String.prototype);

  // 那么

  var str = "<B>&'"中国</B>abc def";

  var ec_str = str.encodeHtml();
  
  document.write(ec_str);
  
  document.write("<br><br>");

  var dc_str = ec_str.decodeHtml();

  document.write(dc_str);

地址:http://www.myexception.cn/HTML-CSS/888888.html

标签:#转义#html代码#string#hash | 浏览:346 | 发布日期:

免责声明:文章转载自《用Javascript进行HTML转义(分享)》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇日常编码规范(Java版)gcc for Windows 开发环境介绍下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

python_18(Django基础)

第1章 web框架的本质 1.1 socket 1.2 空格后面是主体内容 1.3 HTTP协议 1.3.1 响应流程 1.4 HTTP请求方法 1.5 HTTP工作原理 1.6 URL 1.7 HTTP请求格式 1.8 HTTP响应格式 1.9 根据不同的路径返回不同内容 1.10 进阶版 1.11 根据访问的路径返回不同的动态页面 第2章 Django...

吉特仓库管理系统-ORM框架的使用

最近在园子里面连续看到几篇关于ORM的文章,其中有两个印象比较深刻<<SqliteSugar>>,另外一篇文章是<<我的开发框架之ORM框架>>, 第一个做的ORM是相当的不错的,第二个也是相当的不错, 至少在表面上看起来是这么一回事。至于具体的用法和实践我没有深入的去测试过,所以也不便发表更多的意见,不过这...

使用ganymed工具调用ssh2

需要引入ganymed-ssh2-build210.jar包。 其实很简单。所以直接贴代码,代码说话。 package com.eshore.framework.util; import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream;...

6、jeecg 笔记之 自定义excel 模板导出(一)

1、前言 jeecg 中已经自带 excel 的导出导出功能,其所使用的是 easypoi,尽管所导出的 excel 能满足大部分需求, 但总是有需要用到自定义 excel 导出模板,下文所用到的皆是 easypoi 提供的,为方便下次翻阅,故记之。 2、代码部分 2.1、controller @RequestMapping("/myExcel")...

微信退款和支付宝退款接口调用(java版)

项目中需要使用到微信和支付宝的退款功能,在这两天研究了一下这两个平台的退款,有很多坑,在开发中需要留意 1、微信退款接口相对来说我感觉微信的退款接口还是比较好调用的,直接发送httppost请求即可; /** * * @方法名称:payRefund * @内容摘要: <退款> *@param transactio...

Go:创建新进程(os.StartProcess源码解读)

关于如何使用go语言实现新进程的创建和进程间通信,我在网上找了不少的资料,但是始终未能发现让自己满意的答案,因此我打算自己来分析这部分源代码,然后善加利用,并且分享给大家,期望大家能从中获得启发。 首先我们来看一段代码 proc, _ := os.StartProcess(name, args, attr) if err != nil { fmt.Prin...

最新文章

随机推荐

思享工具箱导航