JQuery সহ এইচটিএমএল স্ট্রিংগুলি ত্যাগ করছে

JQuery এর স্ট্রিংগুলি থেকে এইচটিএমএল এড়ানোর সহজ উপায়টি কি কেউ জানেন ? আমার একটি স্বেচ্ছাসেবী স্ট্রিং পাস করতে সক্ষম হওয়া দরকার এবং এটি কোনও HTML পৃষ্ঠায় (জাভাস্ক্রিপ্ট / এইচটিএমএল ইনজেকশন আক্রমণগুলি প্রতিরোধ করা) প্রদর্শনের জন্য যথাযথভাবে পালাতে হবে। আমি নিশ্চিত যে এটি করার জন্য jQuery প্রসারিত করা সম্ভব, তবে এই কাজটি সম্পাদন করার জন্য এই মুহূর্তে ফ্রেমওয়ার্ক সম্পর্কে আমি যথেষ্ট পরিমাণে জানি না।

যেহেতু আপনি jQuery ব্যবহার করছেন , আপনি কেবলমাত্র উপাদানটির textসম্পত্তি সেট করতে পারেন :

// before:
// <div class="someClass">text</div>
var someHtmlString = "<script>alert('hi!');</script>";

// set a DIV's text:
$("div.someClass").text(someHtmlString);
// after: 
// <div class="someClass">&lt;script&gt;alert('hi!');&lt;/script&gt;</div>

// get the text in a string:
var escaped = $("<div>").text(someHtmlString).html();
// value: 
// &lt;script&gt;alert('hi!');&lt;/script&gt;

রয়েছে mustache.js থেকে সমাধান

var entityMap = {
  '&': '&',
  '<': '&lt;',
  '>': '&gt;',
  '"': '&quot;',
  "'": '&#39;',
  '/': '&#x2F;',
  '`': '&#x60;',
  '=': '&#x3D;'
};

function escapeHtml (string) {
  return String(string).replace(/[&<>"'`=\/]/g, function (s) {
    return entityMap[s];
  });
}

$('<div/>').text('This is fun & stuff').html(); // "This is fun &amp; stuff"

সূত্র: http://debuggable.com/posts/encode-html-entities-with-jquery:480f4dd6-13cc-4ce9-8071-4710cbdd56cb

আপনি যদি এইচটিএমএল-এর জন্য পালাতে চান তবে কেবল তিনটিই রয়েছে যা আমি ভাবতে পারি যে এটি সত্যই প্রয়োজনীয়:

html.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");

আপনার ব্যবহারের ক্ষেত্রে উপর নির্ভর করে আপনার পছন্দ মতো জিনিসগুলিও করতে হতে "পারে "। যদি তালিকাটি যথেষ্ট পরিমাণে বড় হয়ে যায় তবে আমি কেবল একটি অ্যারে ব্যবহার করব:

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]
for(var item in findReplace)
    escaped = escaped.replace(findReplace[item][0], findReplace[item][1]);

encodeURIComponent() এটি কেবলমাত্র ইউআরএল-এর জন্য পালাবে, এইচটিএমএল নয়।

আন্ডারস্কোর ব্যবহারের জন্য যথেষ্ট সহজ:

_.escape(string) 

ইনসকোর একটি ইউটিলিটি লাইব্রেরি যা প্রচুর বৈশিষ্ট্য সরবরাহ করে যা নেটিভ জেএস সরবরাহ করে না। এর রয়েছে lodash যা আন্ডারস্কোর হিসাবে একই এপিআই কিন্তু আরো performant হতে পুনর্লিখিত হল।

আমি একটি ছোট্ট ছোট্ট ফাংশন লিখেছি যা এটি করে। এটা শুধুমাত্র পালাতে ", &, <এবং >(কিন্তু সাধারণত ঠিক এ পর্যন্তই আপনি যাহাই হউক না কেন প্রয়োজন)। এটি সামান্য আরও মার্জিত তবে পূর্বের প্রস্তাবিত সমাধানগুলিতে এটি সমস্ত রূপান্তর করতে কেবল একটি ব্যবহার .replace()করে। ( সম্পাদনা 2: হ্রাস কোড জটিলতা ফাংশনটিকে আরও ছোট এবং আরও সুন্দর করে তোলে, যদি আপনি মূল কোডটি সম্পর্কে আগ্রহী হন তবে এই উত্তরের শেষটি দেখুন))

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&<>]/g, function (a) {
        return { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' }[a];
    });
}

এটি সরল জাভাস্ক্রিপ্ট, কোনও jQuery ব্যবহৃত হয় না।

পালানো /এবং 'খুব

এমকিলেমেন্টের মন্তব্যের জবাবে সম্পাদনা করুন।

উপরের ফাংশনটি কোনও চরিত্রকে অন্তর্ভুক্ত করার জন্য সহজেই প্রসারিত করা যায়। পালাতে আরও অক্ষর নির্দিষ্ট করতে, কেবল নিয়মিত অভিব্যক্তিতে (অর্থাত্‍ অভ্যন্তরের অভ্যন্তরে /[...]/g) এবং chrঅবজেক্টে প্রবেশের জন্য অক্ষর শ্রেণিতে উভয় সন্নিবেশ করান । ( সম্পাদনা 2: একইভাবে এই ফাংশনটিও সংক্ষিপ্ত করে রেখেছিল))

function escapeHtml(text) {
    'use strict';
    return text.replace(/[\"&'\/<>]/g, function (a) {
        return {
            '"': '&quot;', '&': '&amp;', "'": '&#39;',
            '/': '&#47;',  '<': '&lt;',  '>': '&gt;'
        }[a];
    });
}

অ্যাডাস্ট্রোফের জন্য উপরের ব্যবহারটি নোট করুন '(পরিবর্তে প্রতীকী সত্তাটি 'ব্যবহার করা যেতে পারে - এটি এক্সএমএলে সংজ্ঞায়িত করা হয়েছে, তবে এটি মূলত এইচটিএমএল স্পেকের অন্তর্ভুক্ত ছিল না এবং তাই এটি সমস্ত ব্রাউজার দ্বারা সমর্থিত নয়) দেখুন: এইচটিএমএল অক্ষর এনকোডিংগুলিতে উইকিপিডিয়া নিবন্ধ )। আমি কোথাও পড়ার বিষয়টিও স্মরণ করি যে হেক্সাডেসিমাল ব্যবহারের চেয়ে দশমিক সত্তা ব্যবহার করা আরও ব্যাপকভাবে সমর্থিত তবে আমি এখন পর্যন্ত এর উত্স খুঁজে পেতে পারি না বলে মনে হয়। (এবং সেখানে অনেকগুলি ব্রাউজার থাকতে পারে যা হেক্সাডেসিমাল সত্তাকে সমর্থন করে না))

নোট: যোগ করার পদ্ধতি /এবং 'যেহেতু তারা HTML এ কোনো বিশেষ অর্থ আছে না এবং না পলান অক্ষরের লিস্টে না সব যে দরকারী, হয় প্রয়োজন পলান করা হবে।

আসল escapeHtmlফাংশন

সম্পাদনা 2: কলব্যাকের chrজন্য প্রয়োজনীয় বস্তুটি সংরক্ষণ করতে মূল ফাংশনটি একটি ভেরিয়েবল ( ) ব্যবহার করে .replace()। এই পরিবর্তনশীলটিও এটিকে স্কোপ করার জন্য একটি অতিরিক্ত বেনামিয় ফাংশন প্রয়োজন, ফাংশনটি (অকারণে) কিছুটা বড় এবং আরও জটিল করে তোলে।

var escapeHtml = (function () {
    'use strict';
    var chr = { '"': '&quot;', '&': '&amp;', '<': '&lt;', '>': '&gt;' };
    return function (text) {
        return text.replace(/[\"&<>]/g, function (a) { return chr[a]; });
    };
}());

দুটি সংস্করণ কোনটি দ্রুত তা পরীক্ষা করে দেখিনি। যদি আপনি তা করেন তবে এ সম্পর্কিত তথ্য এবং লিঙ্কগুলি নির্দ্বিধায় যোগ করুন।

আমি বুঝতে পারছি যে আমি এই পার্টিতে কত দেরিতে আছি তবে আমার কাছে খুব সহজ সমাধান রয়েছে যার জন্য jQuery প্রয়োজন হয় না।

escaped = new Option(unescaped).innerHTML;

সম্পাদনা করুন: এটি উদ্ধৃতিগুলি এড়ায় না। কেবলমাত্র যেখানে কোটসটি এড়ানো দরকার হবে তা হল যদি বিষয়বস্তু এইচটিএমএল স্ট্রিংয়ের মধ্যে কোনও বৈশিষ্ট্যের সাথে ইনলাইনে আটকানো হয়। এটি করা ভাল ডিজাইন হতে পারে এমন কোনও ক্ষেত্রে কল্পনা করা আমার পক্ষে কঠিন।

3 সম্পাদনা করুন: দ্রুত সমাধানের জন্য, সরম থেকে উপরের উত্তরটি পরীক্ষা করুন। এটি একটি সংক্ষিপ্ততম।

এখানে একটি পরিষ্কার, পরিষ্কার জাভাস্ক্রিপ্ট ফাংশন রয়েছে। এটি "কয়েকটি <বহু" কে "কয়েকটি & lt; অনেক" এর মতো পাঠ্য থেকে মুক্তি পাবে।

function escapeHtmlEntities (str) {
  if (typeof jQuery !== 'undefined') {
    // Create an empty div to use as a container,
    // then put the raw text in and get the HTML
    // equivalent out.
    return jQuery('<div/>').text(str).html();
  }

  // No jQuery, so use string replace.
  return str
    .replace(/&/g, '&amp;')
    .replace(/>/g, '&gt;')
    .replace(/</g, '&lt;')
    .replace(/"/g, '&quot;')
    .replace(/'/g, '&apos;');
}

শেষ পরীক্ষার পরে আমি দ্রুত এবং সম্পূর্ণরূপে ব্রাউজারের সাথে সামঞ্জস্যপূর্ণ নেটিভ জাভা স্ক্রিপ্ট ( ডিওএম ) সমাধানের প্রস্তাব দিতে পারি:

function HTMLescape(html){
    return document.createElement('div')
        .appendChild(document.createTextNode(html))
        .parentNode
        .innerHTML
}

আপনি যদি এটির বহুবার পুনরাবৃত্তি করেন তবে একবার প্রস্তুত ভেরিয়েবলের সাহায্যে এটি করতে পারেন:

//prepare variables
var DOMtext = document.createTextNode("test");
var DOMnative = document.createElement("span");
DOMnative.appendChild(DOMtext);

//main work for each case
function HTMLescape(html){
  DOMtext.nodeValue = html;
  return DOMnative.innerHTML
}

আমার চূড়ান্ত পারফরম্যান্স তুলনা ( স্ট্যাক প্রশ্ন ) দেখুন।

ব্যবহার করে দেখুন Underscore.string liberal এর সংক্ষিপ্ত রূপ, এটা jQuery সঙ্গে কাজ করে।

_.str.escapeHTML('<div>Blah blah blah</div>')

আউটপুট:

'<div>Blah blah blah</div>'

আমি গোঁফ.জেএস উদাহরণটি escapeHTML()স্ট্রিং অবজেক্টে পদ্ধতি যুক্ত করে বাড়িয়েছি ।

var __entityMap = {
    "&": "&",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
};

String.prototype.escapeHTML = function() {
    return String(this).replace(/[&<>"'\/]/g, function (s) {
        return __entityMap[s];
    });
}

এইভাবে এটি ব্যবহার করা বেশ সহজ "Some <text>, more Text&Text".escapeHTML()

escape()এবং unescape()ইউআরএলগুলির জন্য এনকোড / ডিকোড স্ট্রিংগুলি নয়, HTML নয়।

আসলে, আমি নিম্নলিখিত স্নিপেটটি এমন কৌশলটি ব্যবহার করি যাতে কোনও কাঠামোর প্রয়োজন হয় না:

var escapedHtml = html.replace(/&/g, '&')
                      .replace(/>/g, '>')
                      .replace(/</g, '&lt;')
                      .replace(/"/g, '&quot;')
                      .replace(/'/g, '&apos;');

আপনার যদি আন্ডারস্কোর.জে থাকে তবে ব্যবহার করুন _.escape(উপরে পোস্ট করা jQuery পদ্ধতির চেয়ে আরও দক্ষ):

_.escape('Curly, Larry & Moe'); // returns: Curly, Larry & Moe

আপনি যদি রেজেক্স রুটে চলে যাচ্ছেন তবে উপরের tghw উদাহরণে একটি ত্রুটি আছে।

<!-- WON'T WORK -  item[0] is an index, not an item -->

var escaped = html; 
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g,"&gt;"], [/"/g,
"&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(item[0], item[1]);   
}


<!-- WORKS - findReplace[item[]] correctly references contents -->

var escaped = html;
var findReplace = [[/&/g, "&amp;"], [/</g, "&lt;"], [/>/g, "&gt;"], [/"/g, "&quot;"]]

for(var item in findReplace) {
     escaped = escaped.replace(findReplace[item[0]], findReplace[item[1]]);
}

এটি একটি দুর্দান্ত নিরাপদ উদাহরণ ...

function escapeHtml(str) {
    if (typeof(str) == "string"){
        try{
            var newStr = "";
            var nextCode = 0;
            for (var i = 0;i < str.length;i++){
                nextCode = str.charCodeAt(i);
                if (nextCode > 0 && nextCode < 128){
                    newStr += "&#"+nextCode+";";
                }
                else{
                    newStr += "?";
                }
             }
             return newStr;
        }
        catch(err){
        }
    }
    else{
        return str;
    }
}

আপনি ভ্যানিলা জেএস দিয়ে এটি সহজেই করতে পারেন।

কেবল একটি পাঠ্য নোড ডকুমেন্ট যুক্ত করুন। এটি ব্রাউজার দ্বারা পালাতে হবে।

var escaped = document.createTextNode("<HTML TO/ESCAPE/>")
document.getElementById("[PARENT_NODE]").appendChild(escaped)

(function(undefined){
    var charsToReplace = {
        '&': '&',
        '<': '&lt;',
        '>': '&gt;'
    };

    var replaceReg = new RegExp("[" + Object.keys(charsToReplace).join("") + "]", "g");
    var replaceFn = function(tag){ return charsToReplace[tag] || tag; };

    var replaceRegF = function(replaceMap) {
        return (new RegExp("[" + Object.keys(charsToReplace).concat(Object.keys(replaceMap)).join("") + "]", "gi"));
    };
    var replaceFnF = function(replaceMap) {
        return function(tag){ return replaceMap[tag] || charsToReplace[tag] || tag; };
    };

    String.prototype.htmlEscape = function(replaceMap) {
        if (replaceMap === undefined) return this.replace(replaceReg, replaceFn);
        return this.replace(replaceRegF(replaceMap), replaceFnF(replaceMap));
    };
})();

কোনও গ্লোবাল ভেরিয়েবল নেই, কিছু মেমরি অপ্টিমাইজেশন রয়েছে। ব্যবহার:

"some<tag>and&symbol©".htmlEscape({'©': '&copy;'})

ফলাফল:

"some<tag>and&symbol©"

2 সহজ পদ্ধতি যার জন্য কোনও জ্যাকুয়েরি প্রয়োজন নেই ...

আপনি আপনার স্ট্রিংয়ের মধ্যে সমস্ত অক্ষরকে এনকোড করতে পারেন :

function encode(e){return e.replace(/[^]/g,function(e){return"&#"+e.charCodeAt(0)+";"})}

অথবা শুধু প্রধান চরিত্র লক্ষ্য চিন্তা সম্পর্কে &, লাইন বিরতি <, >, "এবং 'মত:

function encode(r){
return r.replace(/[\x26\x0A\<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
}

var myString='Encode HTML entities!\n"Safe" escape <script></'+'script> & other tags!';

test.value=encode(myString);

testing.innerHTML=encode(myString);

/*************
* \x26 is &ampersand (it has to be first),
* \x0A is newline,
*************/

<p><b>What JavaScript Generated:</b></p>

<textarea id=test rows="3" cols="55"></textarea>

<p><b>What It Renders Too In HTML:</b></p>

<div id="testing">www.WHAK.com</div>

সরল জাভাস্ক্রিপ্টের পালানোর উদাহরণ:

function escapeHtml(text) {
    var div = document.createElement('div');
    div.innerText = text;
    return div.innerHTML;
}

escapeHtml("<script>alert('hi!');</script>")
// "&lt;script&gt;alert('hi!');&lt;/script&gt;"

function htmlEscape(str) {
    var stringval="";
    $.each(str, function (i, element) {
        alert(element);
        stringval += element
            .replace(/&/g, '&')
            .replace(/"/g, '"')
            .replace(/'/g, ''')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(' ', '-')
            .replace('?', '-')
            .replace(':', '-')
            .replace('|', '-')
            .replace('.', '-');
    });
    alert(stringval);
    return String(stringval);
}

function htmlDecode(t){
   if (t) return $('<div />').html(t).text();
}

একটি যাদুমন্ত্র মত কাজ করে

এই উত্তরটি jQuery এবং সাধারণ জেএস পদ্ধতি সরবরাহ করে তবে এটি DOM ব্যবহার না করেই সবচেয়ে সংক্ষিপ্ত:

unescape(escape("It's > 20% less complicated this way."))

পালানো স্ট্রিং: It%27s%20%3E%2020%25%20less%20complicated%20this%20way.

যদি পালানো স্থানগুলি আপনাকে বিরক্ত করে, তবে চেষ্টা করুন:

unescape(escape("It's > 20% less complicated this way.").replace(/%20/g, " "))

পালানো স্ট্রিং: It%27s %3E 20%25 less complicated this way.

দুর্ভাগ্যক্রমে, escape()ফাংশনটি জাভাস্ক্রিপ্ট সংস্করণ 1.5 তে নষ্ট হয়েছে । encodeURI()বা encodeURIComponent()বিকল্পগুলি হয় তবে তারা এড়িয়ে যায় ', তাই কোডের শেষ লাইনটি এতে রূপান্তরিত হয়:

decodeURI(encodeURI("It's > 20% less complicated this way.").replace(/%20/g, " ").replace("'", '%27'))

সমস্ত বড় ব্রাউজারগুলি এখনও শর্ট কোড সমর্থন করে এবং পুরানো ওয়েবসাইটের সংখ্যা দিলে আমি সন্দেহ করি যে শীঘ্রই এটির পরিবর্তন হবে।

গোঁফ.জেএস থেকে সমাধানের জন্য ES6 একটি লাইনার

const escapeHTML = str => (str+'').replace(/[&<>"'`=\/]/g, s => ({'&': '&amp;','<': '&lt;','>': '&gt;','"': '&quot;',"'": '&#39;','/': '&#x2F;','`': '&#x60;','=': '&#x3D;'})[s]);

আপনি যদি এই তথ্যটি কোনও ডাটাবেজে সংরক্ষণ করে থাকেন তবে ক্লায়েন্ট-সাইড স্ক্রিপ্ট ব্যবহার করে এইচটিএমএল এড়িয়ে চলা ভুল , এটি সার্ভারে করা উচিত । অন্যথায় এটি আপনার এক্সএসএস সুরক্ষা বাইপাস করা সহজ।

আমার বক্তব্য পরিষ্কার করার জন্য, উত্তরের একটি ব্যবহার করে একটি উদাহরণ দেওয়া হল:

আপনার ব্লগে কোনও মন্তব্য থেকে এইচটিএমএলকে রক্ষা করতে এবং তারপরে এটি আপনার সার্ভারে পোস্ট করার জন্য আপনি EscapeHtml ফাংশনটি ব্যবহার করছেন বলে দেয় Le

var entityMap = {
    "&": "&",
    "<": "&lt;",
    ">": "&gt;",
    '"': '&quot;',
    "'": '&#39;',
    "/": '&#x2F;'
  };

  function escapeHtml(string) {
    return String(string).replace(/[&<>"'\/]/g, function (s) {
      return entityMap[s];
    });
  }

ব্যবহারকারী পারে:

• পোস্ট অনুরোধের পরামিতিগুলি সম্পাদনা করুন এবং জাভাস্ক্রিপ্ট কোডের সাথে মন্তব্যটি প্রতিস্থাপন করুন।
• ব্রাউজার কনসোল ব্যবহার করে EscapeHtml ফাংশনটি ওভাররাইট করুন।

যদি ব্যবহারকারী এই স্নিপেটটি কনসোলে পেস্ট করে তবে এটি এক্সএসএস বৈধতাটিকে বাইপাস করবে:

function escapeHtml(string){
   return string
}

সকল সমাধান বেহুদা আপনি আত পুনরায় পালাবার প্রতিরোধ, যেমন সবচেয়ে সমাধান পলায়নের রাখা যাবে &থেকে &।

escapeHtml = function (s) {
    return s ? s.replace(
        /[&<>'"]/g,
        function (c, offset, str) {
            if (c === "&") {
                var substr = str.substring(offset, offset + 6);
                if (/&(amp|lt|gt|apos|quot);/.test(substr)) {
                    // already escaped, do not re-escape
                    return c;
                }
            }
            return "&" + {
                "&": "amp",
                "<": "lt",
                ">": "gt",
                "'": "apos",
                '"': "quot"
            }[c] + ";";
        }
    ) : "";
};