html标签转意

解决UEditor HTML标记转义问题
最新推荐文章于 2021-08-02 15:24:35 发布
原创 最新推荐文章于 2021-08-02 15:24:35 发布 · 363 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#html转义


昨天加班的时候发现一个问题,使用ueditor将文章内容保存到数据库的clob字段中,内容是有html标记的,在展现页面的时候,先将clob中的字段隐藏在一个隐藏域中,导致页面渲染失败,通过查看页面的浏览器html源码发现,原来内容含有html标记,导致html标签错乱,没有达到隐藏的效果,所以想怎么样转义html标记。首先想到jquery中是否有html转义的方法,在百度后发现了<c:out/>标签可以将html自动转义。所以一下子就解决了问题,不需要通过js再转义了。

HTML 常用标签
酷爱前端的小陈博客
04-16 297
1. 标签语义 学习标签是有技巧的,重点是记住每个标签的语义。简单理解就是指标签的含义,即这个标签是用来干嘛的。 根据标签的语义,在合适的地方给一个最为合理的标签,可以让页面结构更清晰。 2.标题标签 <h1> - <h6>(重要) 为了使网页更具有语义化,我们经常会在页面中用到标题标签HTML 提供了 6 个等级的网页标题,即<h1> - <h6> 。 <h1> 我是一级标题 </h1> 单词 head ..
html网页转意,简单的HTML转意代码
weixin_29816241的博客
06-18 244
在数据提交到数据库之前的简单HTML字符转意,防止javascript恶意代码,因为项目中用到了输出为xml,所以在输出之前还要进行二次转意,把数据库中之前加入的转意为正常/*** html代码输入验证转换* @param str* @return*/public String htmlFilter(String str){//转意&str = str.replaceAll("&"...
简单的HTML转意代码
Binac二维思索
11-06 2834
在数据提交到数据库之前的简单HTML字符转意,防止javascript恶意代码,因为项目中用到了输出为xml,所以在输出之前还要进行二次转意,把数据库中之前加入的转意为正常 /** * html代码输入验证转换 * @param str * @return */  public String htmlFilter(String str){      //转意&   str = str.repl
ueditor编辑器保存后内容展示时被转义了,如何反转义
xiaozaq的博客
11-09 1万+
使用JS实现HTML标签转义及反转义。通过HTMLEncode和HTMLDecode实现转义和反转义 ${blog.title} function HTMLEncode(html) { var temp = document.createElement("div"); (temp.textContent != null) ? (temp.textContent =
html 标签转译反转译
weixin_30267697的博客
01-21 312
如果要在 html 标签内原样插入带 html 标签的文字,通常都会被自动解析掉,比如:document.getElementsByTagName('div')[0].innerHTML="<p>ss</p>"这个代码的结果就是这样:如果不希望的话,就要把特殊字符转译,这里就是 </>,不过有另一种方法:document.getElementsByTagName...
html转义
qq_24581629的博客
05-23 5720
html转义 html转义是将特殊字符或html标签转换为与之对应的字符。如:< 会转义为< , >转义为 >, 像“<script>alert('test');</script>”这段字符会转义为:“<script>alert('test');</script>”。再显示时页面会将<解析为< , >解析为>, 从而还原了用户的真实输入,最终显示在页
html标签转换
11-01
html标签与转移符转换 tag_util.html2Escape = function html2Escape(sHtml) { return sHtml.replace(/[<>&"]/g, function (c) { return { ';', '>': '>','"': '"',"&":"&" }[c]; }); }
django中模板的html自动转意方法
09-20
在这个例子中,data变量内的HTML标签不会被转意,将会按照HTML代码原本的格式渲染在页面上。 2. 使用autoescape标签 另一个关闭自动转意的方法是使用autoescape模板标签。通过指定on或off参数,可以控制模板中某段...
详解HTML5中的template标签
12-14
干嘛用的呢,顾名思意,就是用来声明是“模板元素”。 目前,我们在HTML中嵌入模板HTML,往往是类似这样的写法: XML/HTML Code复制内容到剪贴板 [removed]  // … [removed]  实际上,并不存在type="text/...
html5 浏览器支持 如何让所有的浏览器都支持HTML5标签样式
09-28
Shiv这个词来源于印度教神话,意为“破坏者”,在这里它代表了打破旧浏览器对HTML5新标签不支持的障碍。HTML5 Shiv通过动态创建所有HTML5新标签,使得老版本的IE浏览器能够识别并应用这些标签的CSS样式。只需要在...
HTML转义字符大全<转>
主要记录一些问题处理记录,部分是作为知识库使用
08-02 2万+
为什么要用转义字符串? HTML中<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页中显示这些符号,该怎么办呢? 这就要说到HTML转义字符串(Escape Sequence)了。 转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML中,定义转义字符串的原因有两个:第一个原因是像“<”和“>”这类符号已经用来表示HTM..
html标签与字符串互转义
lihefei_coder的博客
01-09 1万+
处理表单输入内容时html代码注入问题//把HTML格式的字符串转义成实体格式字符串 function escapeHTMLString(str) { str = str.replace(/</g,'<'); str = str.replace(/>/g,'>'); return str; }//把实体格式字符串转义HTML格式的字符串 function esc
转义HTML标签
ybfan
05-30 1494
function HTMLEncode(html) { var temp = document.createElement("div"); (temp.textContent != null) ? (temp.textContent = html) : (temp.innerText = html); var output = temp.innerHTML; temp = null; return...
JS实现HTML标签转义及反转义
a_靖的博客
06-18 6776
开发交流QQ群:173683895 173683895 526474645 人满的请加其它群 编码反编码 function html_encode(str) { var s = ""; if (str.length == 0) return ""; s = str.replace(/&/g, "&amp...
HTML字符实体(Character Entities),转义字符串(Escape Sequence)
12-02 3799
 为什么要用转义字符串?HTML中,&等有特殊含义(,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页中显示这些符号,该怎么办呢? 这就要说到HTML转义字符串(Escape Sequence)了。 转义字符串(Escape Sequence)也称字符实体(Character Entity)。在HTML中,定义转义字符串的原
java实现HTML标签转义和反转义(StringEscapeUtils)
热门推荐
风凌旭的专栏
07-23 4万+
转义:有时需要对带有格式的长文本(如个人文章或评论等)进行转义后存储到数据库表中。       例如:String EsHtml="我的评论";                  转义后为"<p>我的<br/>评论</p&gt"    反转义:数据库中存储的转义后的文本有时需要反转至页面。       例如:字符串: "<p>我的<br/&g
html 的转译 与 反转译
BetterGG的博客
07-17 5110
1、正常 html 代码 变为 转译字符串: //var html ="&lt;script src='http://cbjs.baidu.com/js/m.js' type='text/javascript'&gt;&lt;\/script&gt;"; var html = '&lt;div&gt;&lt;p&gt;第一行&lt;/p&gt;&lt;p&gt;第二行&lt;/
常用的转义字符
dianchamian8747的博客
10-10 1625
1 HTML字符实体(Character Entities),转义字符串(Escape Sequence)为什么要用转义字符串? 2 HTML中<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用。这些符号是不显示在我们最终看到的网页里的,那如果我们希望在网页中显示这些符号,该怎么办呢? 3 4 这就...
H5语义化标签笔记库
山月风成的博客
10-24 532
语义化,标签
jsp中 %引入标签 "转意
最新发布
08-26
<think>我们正在讨论的是在JSP中使用`<% ... %>`脚本标签时如何处理转义字符的问题。用户之前的问题是关于JSP表格中下拉菜单的实现,但当前问题已转向JSP脚本标签转义字符处理。 关键点: 1. 用户想在JSP中使用`<% ... %>`引入标签(可能是指引入Java代码或标签库)并处理转义字符。 2. 需要正确处理转义字符,例如在输出到HTML时避免XSS攻击,或者正确显示特殊字符。 解决方案: 在JSP中,使用脚本标签`<% ... %>`时,我们可能会输出一些动态内容,这些内容可能包含HTML特殊字符(如<, >, &, ", '等)。为了在HTML中正确显示这些字符(而不是被浏览器解析为HTML标签),我们需要进行转义。 有两种常见方式: 1. 使用JSTL的`<c:out>`标签,它默认会进行XML转义(即转义HTML特殊字符)。 2. 使用Java代码进行转义(例如使用Apache Commons Lang的StringEscapeUtils,或者自己写转义方法)。 但是,请注意:在脚本标签中直接输出内容通常使用`out.print()`,我们可以在这之前对字符串进行转义。 步骤: 方法一:在脚本标签内使用转义函数(如果项目允许使用第三方库,可以引入Apache Commons Lang) 首先,确保将Apache Commons Lang库添加到项目中(如commons-lang3-3.12.0.jar)。 在JSP顶部导入相关类: ```jsp <%@ page import="org.apache.commons.lang3.StringEscapeUtils" %> ``` 然后在需要输出的地方: ```jsp <% String userInput = "<script>alert('xss')</script>"; String safeOutput = StringEscapeUtils.escapeHtml4(userInput); out.print(safeOutput); %> ``` 方法二:如果不使用第三方库,可以自己写一个转义方法(简单示例): ```jsp <%! // 在声明中写一个转义HTML的方法 public String escapeHtml(String input) { if (input == null) { return null; } return input.replaceAll("&", "&") .replaceAll("<", "<") .replaceAll(">", ">") .replaceAll("\"", """) .replaceAll("'", "'"); } %> <% String userInput = "<script>alert('xss')</script>"; out.print(escapeHtml(userInput)); %> ``` 方法三:使用JSTL(推荐,因为JSTL更安全且易于维护) 虽然用户要求使用`<% ... %>`,但通常我们建议避免使用脚本标签,而使用JSTL。如果用户坚持使用脚本标签,那么方法一或二。但如果可以,尽量使用JSTL。 使用JSTL的例子: ```jsp <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <c:out value="${userInput}" default="默认值" /> ``` 注意:`<c:out>`默认会进行转义,如果不想转义,可以设置`escapeXml="false"`,但这样有XSS风险。 关于用户的问题中“引入标签”的理解: 用户可能是指引入JSP标签(如JSTL标签)时,在脚本标签中如何输出?通常,我们不会在脚本标签中嵌套JSTL标签,因为脚本标签是Java代码,而JSTL是标签。所以,如果用户需要在脚本标签中输出内容,那么应该使用上述方法一或二进行转义。 另外,如果用户是在脚本标签中生成HTML标签字符串,然后输出,那么同样需要转义动态内容部分(静态HTML标签不需要转义,但动态插入的数据需要)。 总结: 在JSP脚本标签中输出动态内容时,为了安全显示(防止XSS和保证正确显示),必须对内容中的HTML特殊字符进行转义。可以使用第三方库(如Apache Commons Lang)或自定义转义方法,或者改用JSTL的`<c:out>`标签。 注意:在JSP2.0及以上,默认支持EL表达式,可以直接使用`${}`,并且EL表达式在输出时默认不会转义。为了安全,建议在EL表达式中使用`<c:out>`进行输出,或者使用JSP2.1及以上的版本,可以通过在web.xml中配置来开启EL表达式的转义功能(但默认不开启)。 在web.xml中配置全局转义: ```xml <jsp-config> <jsp-property-group> <url-pattern>*.jsp</url-pattern> <el-ignored>false</el-ignored> <escape-xml>true</escape-xml> <!-- 开启EL表达式默认转义 --> </jsp-property-group> </jsp-config> ``` 但是,这个配置只对EL表达式有效,即`${}`会进行转义。而脚本标签中的输出不受此配置影响。 因此,我们推荐: 1. 尽量避免使用脚本标签(使用JSTL和EL)。 2. 如果必须使用脚本标签,则显式转义输出内容。 相关问题: 根据用户的问题,生成以下相关问题: 1. 如何在JSP中避免XSS攻击? 2. JSTL的`<c:out>`标签和EL表达式在输出时有什么区别? 3. 在JSP中,如何配置全局的转义设置?</think>### JSP中使用`<%`引入标签时处理转义字符的方法 在JSP中使用`<%`脚本标签时,正确处理转义字符需要结合**HTML实体编码**和**JSP表达式标签**,以下是具体解决方案: --- #### 1. **基础转义方法** 使用`<%= %>`输出表达式时,手动处理特殊字符: ```jsp <% String userInput = "<script>alert('XSS')</script>"; // 转义关键字符 String safeOutput = userInput .replace("&", "&") .replace("<", "<") .replace(">", ">") .replace("\"", """) .replace("'", "'"); %> <!-- 安全输出 --> <%= safeOutput %> ``` --- #### 2. **使用JSTL核心标签(推荐)** 通过JSTL的`<c:out>`自动处理转义: ```jsp <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <% String rawData = "User's input: <b>Hello</b>"; pageContext.setAttribute("rawData", rawData); %> <!-- 自动转义 --> <c:out value="${rawData}" default="No data"/> <!-- 禁用转义(慎用) --> <c:out value="${rawData}" escapeXml="false"/> ``` > **说明**: > - `escapeXml="true"`(默认)会转义`< > & ' "` > - 优先使用此方法,避免手动处理错误[^1] --- #### 3. **EL函数自定义转义** 创建自定义EL函数处理复杂场景: 1. **创建转义工具类**: ```java // EscapeUtil.java public class EscapeUtil { public static String escapeHtml(String input) { return StringEscapeUtils.escapeHtml4(input); // 使用commons-text } } ``` 2. **TLD文件注册函数**: ```xml <!-- WEB-INF/escape.tld --> <function> <name>escapeHtml</name> <function-class>com.util.EscapeUtil</function-class> <function-signature> java.lang.String escapeHtml(java.lang.String) </function-signature> </function> ``` 3. **JSP中使用**: ```jsp <%@ taglib prefix="my" uri="/WEB-INF/escape.tld" %> <%= "Raw: <div>" %> <!-- 危险:未转义 --> ${my:escapeHtml(userContent)} <!-- 安全输出 --> ``` --- #### 4. **特殊场景处理** | 场景 | 解决方案 | |--------------------|--------------------------------------------------------------------------| | **JSON输出** | 使用`org.json.JSONObject.quote()`进行转义 | | **JavaScript嵌入** | 用`\xHH`十六进制编码:`<%="\u003cscript\u003e".replace("<","\\u003c")%>` | | **URL参数** | 用`java.net.URLEncoder.encode("str","UTF-8")` | | **SQL注入防护** | 始终使用`PreparedStatement`,非转义解决 | --- #### 5. **最佳实践总结** 1. **优先选择JSTL**:`<c:out>`是最安全简洁的方式 2. **避免内联脚本**:尽量将业务逻辑移至Servlet或工具类 3. **三层防御体系**: ```mermaid graph LR A[输入过滤] --> B[业务处理] B --> C[输出转义] C --> D[内容安全策略 CSP] ``` 4. **依赖库推荐**: - Apache Commons Text: `StringEscapeUtils` - OWASP Java Encoder: `Encoder.forHtml(content)` - Spring HtmlUtils: `HtmlUtils.htmlEscape()` > **关键原则**:始终在**最终输出点**进行转义,而非在数据存储阶段[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值