HtmlSpecialChars équivalent en Javascript?

Apparemment, c'est plus difficile à trouver que ce que je croyais être. Et c'est même tellement simple...

Est-il une fonction équivalente à PHP htmlspecialchars construit en Javascript? Je sais que c'est assez facile à mettre en œuvre vous-même, mais à l'aide d'une fonction intégrée, si disponible, est juste plus agréable.

Pour ceux qui ne connaissent PHP, htmlspecialchars se traduit par des trucs comme <htmltag/> en <htmltag/>

Je sais que escape() et encodeURI() ne fonctionnent pas de cette façon.

php a eu quelques vraiment bons outils, var_dump, print_r, htmlspecialchars etc. Malheureusement je soupçonne n'est pas la même chose avec js. js alerte est si pauvre. Un moyen rapide de voir que certains inattendu (et invisible dans la boîte d'alerte) de la chaîne est à venir, est d'alerter la longueur de la chaîne au lieu de la chaîne itslef.
Double Possible de s'Échapper les chaînes HTML avec jQuery

InformationsquelleAutor Bart van Heukelom | 2009-11-24

304

Il y a un problème avec votre solution de code, il ne fera que s'échapper de la première occurrence de chaque caractère spécial. Par exemple:
```
escapeHtml('Kip\'s <b>evil</b> "test" code\'s here');
Actual:   Kip&#039;s &lt;b&gt;evil</b> &quot;test" code's here
Expected: Kip&#039;s &lt;b&gt;evil&lt;/b&gt; &quot;test&quot; code&#039;s here
```
Voici le code qui fonctionne correctement:
```
function escapeHtml(text) {
  return text
      .replace(/&/g, "&amp;")
      .replace(/</g, "&lt;")
      .replace(/>/g, "&gt;")
      .replace(/"/g, "&quot;")
      .replace(/'/g, "&#039;");
}
```
Mise à jour

Le code suivant va produire des résultats identiques à ci-dessus, mais elle est plus performante, en particulier sur les gros blocs de texte (merci jbo5112).
```
function escapeHtml(text) {
  var map = {
    '&': '&amp;',
    '<': '&lt;',
    '>': '&gt;',
    '"': '&quot;',
    "'": '&#039;'
  };

  return text.replace(/[&<>"']/g, function(m) { return map[m]; });
}
```
- bonne chose à propos de cette fonction est qu'il fonctionne en node.js qui n'a pas un dom par défaut
- Il est plus rapide d'utiliser un unique de remplacement et de la cartographie de la fonction, et l'unique de remplacement des échelles beaucoup mieux. (jsperf.com/escape-html-special-chars/11)
- bon point, je ne savais pas que JS a permis de rappels pour le remplacement. Ce code est plus facile à comprendre si, et je doute que le rasage quelques millisecondes hors de escapeHtml() va faire une différence, sauf si vous appelez ça des centaines de fois dans une rangée pour une raison quelconque.
- Cela va fausser les Url dans le texte qui les rend inutilisables pour les plugins comme Autolinker.js. Est-il possible que la manière d'aborder ce?
- Pas sûr sans exemple, mais qui sonne comme un bug, vous devez signaler au créateur du plugin. Le seul de ces personnages qui devraient être dans une URL est &. Est-il possible de la & est déjà codé comme &, et ce code code il de nouveau à &amp;, de sorte que & est ce qui est réellement affiché sur l'écran?
- Si la saisie de l'utilisateur est Hey, look at g.com?a=1&b=2 & tell me what do you think., seule la deuxième & doit être encodé. Je suppose qu'il devrait être de la responsabilité du plugin pour coder tout sauf Url parce qu'ils possèdent le code qui identifie l'URL.
- Même dans ce cas, il est parfaitement valide (de préférence je dirais) pour les deux arobases pour être encodée lorsqu'elle est utilisée dans un document HTML. Je le considère encore un bug avec le plugin.
- J'ai eu un problème avec ".replace(/'/g, "'");", le navigateur a été la conversion de retour à l'apostrophe dans le javascript en ligne. Solution de contournement a été d'ajouter échapper characther: .replace(/'/g, "\\'");
- La carte de la variable doit être déclarée au-dessus de la fonction de sorte qu'il n'est pas recréé à chaque fois, il sera encore plus performant. Voici un test: jsperf.com/compare-var-inside-and-outside-escapehtml-function/1 Voici un autre test à l'aide en ligne, comme ainsi: jsperf.com/compare-escape-var-inside-inline/1
- qu'en est backtick: ` ?
- Backtick ne nécessite pas de s'échapper en html, mais si vous voulez faire de sorte qu'il est assez facile d'étendre le code. L'entité html pour il est `
InformationsquelleAutor Kip
30

C'est de Codage HTML. Il n'y a pas de javascript natif de la fonction pour le faire, mais vous pouvez google et d'obtenir un peu bien fait jusqu'ceux.

E. g. http://sanzon.wordpress.com/2008/05/01/neat-little-html-encoding-trick-in-javascript/

EDIT:

C'est ce que j'ai testé:
```
var div = document.createElement('div');
  var text = document.createTextNode('<htmltag/>');
  div.appendChild(text);
  console.log(div.innerHTML);
```
De sortie: <htmltag/>
- Tant pis, je vais avoir à utiliser une fonction personnalisée ensuite.
- Vous pouvez essayer la méthode dans le lien que j'ai inclus dans mon post. Assez pur concept, en effet.
- Ok, d'abord lié à ceci: yuki-onna.co.uk/html/encode.html qui fait exactement ce encodeURIComponent n'et pas du tout ce que l'OP a demandé. Alors pouvez-vous modifier? Je ne peux pas me défaire de mon -1.
- Yah, la page de code semble logique, mais je ne l'ai pas tester. Le nouveau lien si fonctionne, j'ai vérifié moi-même. J'ai déjà mis à jour le post il y a quelque temps.
- Pas de. La seule nœuds qui sont créés sont une seule div élément et un nœud de texte. La création d'un nœud de texte avec le texte ` <img src=faux onerror=alert(1337)>` faudra juste créer un nœud de texte, pas un img élément.
- Version plus simple: var div = document.createElement('div'); div.textContent = '<htmltag/>'; console.log(div.innerHTML);
InformationsquelleAutor o.k.w
25

Intéressant à lire:
http://bigdingus.com/2007/12/29/html-escaping-in-javascript/
```
escapeHTML: (function() {
 var MAP = {
   '&': '&amp;',
   '<': '&lt;',
   '>': '&gt;',
   '"': '&#34;',
   "'": '&#39;'
 };
  var repl = function(c) { return MAP[c]; };
  return function(s) {
    return s.replace(/[&<>'"]/g, repl);
  };
})()
```
Note: n'exécutez cette fois. Et de ne pas l'exécuter sur déjà encodées par exemple & devient &amp;
- Cela devrait être accepté et plus voté réponse. Je ne suis pas sûr de savoir pourquoi il n'avait pas de voix. C'est l'analyse comparative comme la plus rapide, avec un long (326KB résultat de recherche de Google) et à court de la chaîne d'entrée sur jsperf (jsperf.com/escape-html-special-chars/11). S'il vous plaît voter cela.
InformationsquelleAutor Chris Jacob
19

Avec jQuery, il peut être comme ceci:
```
var escapedValue = $('<div/>').text(value).html();
```
À partir d'une question relative à la Échapper les chaînes HTML avec jQuery

Comme mentionné dans le commentaire de guillemets doubles et les guillemets simples sont à gauche comme tel pour cette mise en œuvre. Cela signifie que cette solution ne doit pas être utilisé si vous avez besoin de faire attribut d'élément comme matière première chaîne html.
- aucune idée si il n'y a aucune surcharge pour ce--ajout d'un objet fictif pour les DOM?
- et existe-il d'autres avantages (par exemple, si vous avez des caractères unicode ou quelque chose)?
- Definetly coûte quelque chose, mais pour la plupart des tâches de ces jours, il sera OK. Pour le long bloc de texte, cela pourrait être encore plus rapide (dépend de la fonction DOM mise en œuvre detals) parce que remplacer court de 5 fois. Avantages par rapport distinct fonction personnalisée avec les remplacements, cette solution utilise la bibliothèque de code qui se sent tout simplement plus sûr:), Tandis que "remplacer" la version la plus exacte de mise en œuvre de htmlspecialchars.
- Chose que j'ai trouvé ceci: les guillemets doubles et les guillemets simples sont laissées telles quelles. Qui fait de cette problématique si vous voulez l'utiliser dans une valeur d'attribut.
- Pour les petits morceaux de texte, cela prend 30x aussi longtemps que l'exécution de toutes les remplace. Il n'échelle de meilleur. Avec quelque chose d'aussi gigantesque comme un résultat de recherche Google page (326KB), c'est 25 à 30% plus rapide que la remplace ou faire cela tout de javascript. Cependant, ils perdent systématiquement à un seul de remplacer et d'une fonction de mappage.
- comment les gens votent sur cette réponse: réponse a jquery:+1 - ne PAS échapper les guillemets simples et doubles: ummmm..(se gratter la tête).. +1.  Cette réponse devrait score NÉGATIF, car il NE vient MÊME PAS PRÈS DE RÉPONDRE à LA QUESTION "HtmlSpecialChars équivalent".  il-ne-pas-escape-citations-jésus-christ-et-autres-divinités. OMG vous jquery personnes.
- Je Préfère cette version pour appuyer % et + trop: $('<div>').text(texte).html().replace(/%/g, '%25').replace(/\+/g, '%2B');
InformationsquelleAutor Alexander Yanovets

Voici une fonction pour échapper HTML:

function escapeHtml(str)
{
    var map =
    {
        '&': '&amp;',
        '<': '&lt;',
        '>': '&gt;',
        '"': '&quot;',
        "'": '&#039;'
    };
    return str.replace(/[&<>"']/g, function(m) {return map[m];});
}

Et à décoder:

function decodeHtml(str)
{
    var map =
    {
        '&amp;': '&',
        '&lt;': '<',
        '&gt;': '>',
        '&quot;': '"',
        '&#039;': "'"
    };
    return str.replace(/&amp;|&lt;|&gt;|&quot;|&#039;/g, function(m) {return map[m];});
}

InformationsquelleAutor Dan Bray

6

Underscore.js fournit une fonction pour ça:
```
_.escape(string)
```
Échappe à une chaîne pour l'insertion dans le code HTML, en remplacement de &, <, >, ", et " des personnages.

http://underscorejs.org/#escape

Ce n'est pas un construit en fonction Javascript, mais si vous êtes déjà à l'aide de Souligner qu'il est une meilleure alternative que d'écrire votre propre fonction si vos cordes pour convertir ne sont pas trop grandes.

InformationsquelleAutor mer10z_tech
5

Encore une autre façon de faire cela est de renoncer à tout le mappage de caractères tout à fait et au lieu de convertir tous les caractères indésirables dans leurs références à des caractères numériques, par exemple:
```
function escapeHtml(raw) {
    return raw.replace(/[&<>"']/g, function onReplace(match) {
        return '&#' + match.charCodeAt(0) + ';';
    });
}
```
Note que les RegEx ne gère que les caractères spécifiques de l'OP voulait s'enfuir, mais, en fonction du contexte qui l'a échappé HTML va être utilisé, ces caractères peuvent ne pas être suffisantes. Ryan Grove article Il n'y a plus de HTML échapper que &, <, >, et " est une bonne lecture sur le sujet. Et en fonction de votre contexte, la RegEx suivante peut très bien être nécessaire afin d'éviter l'injection XSS:
```
var regex = /[&<>"'` !@$%()=+{}[\]]/g
```
InformationsquelleAutor Fredric

String.prototype.escapeHTML = function() {
        return this.replace(/&/g, "&amp;")
                   .replace(/</g, "&lt;")
                   .replace(/>/g, "&gt;")
                   .replace(/"/g, "&quot;")
                   .replace(/'/g, "&#039;");
    }

exemple :

var toto = "test<br>";
alert(toto.escapeHTML());

InformationsquelleAutor patrick

3

Les Chances sont que vous n'avez pas besoin d'une telle fonction. Depuis votre code est déjà dans le navigateur*, vous pouvez accéder au DOM directement au lieu de générer et de codage HTML qui doivent être décodées à l'envers par le navigateur utilisé.

Utilisation innerText propriété pour insérer du texte brut dans les DOM en toute sécurité et beaucoup plus rapide que d'utiliser l'un de l'présenté échapper fonctions. Même plus rapide de l'affectation statique preencoded chaîne de innerHTML.

Utilisation classList pour modifier les classes, dataset pour définir data- attributs et setAttribute pour les autres.

Tous ces va gérer échapper pour vous. Plus précisément, aucun échappement est nécessaire et aucun codage ne sera effectué en-dessous**, puisque vous travaillez autour de HTML, la représentation textuelle de DOM.

JS:
```
//use existing element
var author = 'John "Superman" Doe <[email protected]>';
var el = document.getElementById('first');
el.dataset.author = author;
el.textContent = 'Author: '+author;

//or create a new element
var a = document.createElement('a');
a.classList.add('important');
a.href = '/search?q=term+"exact"&n=50';
a.textContent = 'Search for "exact" term';
document.body.appendChild(a);

//actual HTML code
console.log(el.outerHTML);
console.log(a.outerHTML);
```
CSS:
```
.important { color: red; }
```
HTML:
```
<div id="first"></div>
```
* Cette réponse n'est pas prévu pour JavaScript côté serveur les utilisateurs (Node.js, etc.)

** Sauf si vous avez explicitement le convertir en HTML par la suite. E. g. en accédant à innerHTML - c'est ce qui arrive lorsque vous exécutez $('<div/>').text(value).html(); suggéré dans d'autres réponses. Donc, si votre objectif final est d'insérer des données dans le document, en le faisant de cette manière que vous allez faire le travail deux fois. Aussi, vous pouvez voir que dans le code HTML obtenu tout n'est pas codé, que le minimum de ce qui est nécessaire pour qu'il soit valable. Il est fait en contexte-dépendante, c'est pourquoi cette méthode jQuery n'est pas de coder des devis et, par conséquent, ne devrait pas être utilisé comme un objectif général de escaper. Les guillemets s'échapper est nécessaire lorsque vous êtes à la construction de HTML comme une chaîne de caractères non approuvées ou citation contenant des données sur la place de la valeur d'un attribut. Si vous utilisez l'API DOM, vous n'avez pas de soins au sujet d'échapper à tout.
- Merci pour cette! J'ai passé la manière de longtemps à la recherche d'une solution aussi simple. Une chose importante que j'ai découvert, c'est que si votre texte contient des retours à la ligne, alors vous aurez soit à les remplacer avec du code HTML de sauts de ligne (quelque chose comme el.textContent = str; el.innerHTML = el.innerHTML.replace(/\n/g, '<br>')), ou de définir la CSS white-space propriété pre ou pre-wrap
- merci pour soulever cette question. J'ai changé ma réponse à recommander innerText au lieu de textContent. Alors qu'un peu plus lent et a quelques d'autres différences lors de la lecture de la propriété, il est plus intuitif qu'il ne le <br> remplacement automatiquement lors de l'attribution d'elle.
InformationsquelleAutor user
2

Pour Node.JS les utilisateurs (ou les utilisateurs utilisant Jade d'exécution dans le navigateur), vous pouvez utiliser le Jade de la fonction d'échappement.
```
require('jade').runtime.escape(...);
```
Pas de sens dans l'écrit vous-même si quelqu'un d'autre est de le maintenir. 🙂

InformationsquelleAutor BMiner

function htmlspecialchars(str) {
 if (typeof(str) == "string") {
  str = str.replace(/&/g, "&amp;"); /* must do &amp; first */
  str = str.replace(/"/g, "&quot;");
  str = str.replace(/'/g, "&#039;");
  str = str.replace(/</g, "&lt;");
  str = str.replace(/>/g, "&gt;");
  }
 return str;
 }

InformationsquelleAutor

Espère que cela gagne la course en raison de ses performances et le plus important de ne pas enchaînés, la logique de l'aide .replace ("&", " &").replace('<','<')...

var mapObj = {
   '&':"&amp;",
   '<':"&lt;",
   '>':"&gt;",
   '"':"&quot;",
   '\'':"&#039;"
};
var re = new RegExp(Object.keys(mapObj).join("|"),"gi");

function escapeHtml(str) 
{   
    return str.replace(re, function(matched)
    {
        return mapObj[matched.toLowerCase()];
    });
}

console.log('<script type="text/javascript">alert('Hello World');</script>');
console.log(escapeHtml('<script type="text/javascript">alert('Hello World');</script>'));

InformationsquelleAutor Abdul Jabbar Dumrai

0

Inversion:
```
function decodeHtml(text) {
    return text
        .replace(/&amp;/g, '&')
        .replace(/&lt;/ , '<')
        .replace(/&gt;/, '>')
        .replace(/&quot;/g,'"')
        .replace(/&#039;/g,"'");
}
```
- La question n'est pas de se demander comment décoder les entités. Ce fait le contraire de ce qui est demandé pour.
- Cela ne fera que remplacer le premier les instances de < et &gr; dans une chaîne de caractères.
- Ce sera seulement de décoder les cinq personnages qui (en dehors de la non-Unicode documents) doit être échappé, il ne sera pas décoder ceux qui peut être échappé.
- Cela ne prend pas en compte les règles pour déterminer si le point-virgule est facultative.
- Si le HTML est dit: To write a greater than sign in HTML type &gt;, il affiche > au lieu de >
InformationsquelleAutor Gleb Dolzikov
0

Je suis d'élaborer un peu sur l'o.k.w.'s réponse.

Vous pouvez utiliser le navigateur de fonctions DOM pour que.
```
var utils = {
    dummy: document.createElement('div'),
    escapeHTML: function(s) {
        this.dummy.textContent = s
        return this.dummy.innerHTML
    }
}

utils.escapeHTML('<escapeThis>&')
```
Cela renvoie <escapeThis>&

Il utilise la norme de la fonction createElement pour créer un élément invisible, puis utilise la fonction textContent afin de définir la chaîne de son contenu, puis innerHTML pour obtenir le contenu dans sa représentation HTML.

InformationsquelleAutor Jonas Eberle
-1
```
function htmlEscape(str){
    return str.replace(/[&<>'"]/g,x=>'&#'+x.charCodeAt(0)+';')
}
```
Cette solution utilise le code numérique des caractères, par exemple < est remplacé par <.

Bien que son rendement est légèrement pire que la solution à l'aide d'une carte, il a des avantages:
- Ne dépend pas de la bibliothèque ou DOM
- Assez facile à retenir (vous n'avez pas besoin de mémoriser les 5 HTML des caractères d'échappement)
- Peu de code
- Assez rapide (c'est toujours plus rapide que d'5 enchaîné remplacer)
InformationsquelleAutor user202729

Vous devez vous connecter pour publier un commentaire.

Mise à jour