<p>【转义字符】HTML 字符实体&amp;lt; &amp;gt: &amp;amp;等</p><p>在开发中遇到javascript从后台获取的url 会被转义,如:http://localhost:8080/Home/Index?a=14&amp;amp;b=15&amp;amp;c=123,想把它转成http://localhost:8080/Home/Index?a=14&amp;b=15&amp;c=123</p><p>转义分为escapeHTML和unescapeHTML,先看两个函数的实现。</p><pre class="brush:js;toolbar:false">/** *@functionescapeHTML转义html脚本&lt;&gt;&amp;&quot;&#39; *@parama- *字符串 */ escapeHTML:function(a){ a=&quot;&quot;+a; returna.replace(/&amp;/g,&quot;&amp;&quot;).replace(/&lt;/g,&quot;&lt;&quot;).replace(/&gt;/g,&quot;&gt;&quot;).replace(/&quot;/g,&quot;&quot;&quot;).replace(/&#39;/g,&quot;&amp;apos;&quot;);; }, /** *@functionunescapeHTML还原html脚本&lt;&gt;&amp;&quot;&#39; *@parama- *字符串 */ unescapeHTML:function(a){ a=&quot;&quot;+a; returna.replace(/&lt;/g,&quot;&lt;&quot;).replace(/&gt;/g,&quot;&gt;&quot;).replace(/&amp;/g,&quot;&amp;&quot;).replace(/&quot;/g,&#39;&quot;&#39;).replace(/&amp;apos;/g,&quot;&#39;&quot;); },</pre><p>1,escapeHTML将&lt; &gt; &amp; &quot; &#39;转成字符实体</p><p>使用场景:</p><p>(1)用户在页面中录入(比如输入框) &lt;script&gt;alert(2);&lt;/script&gt;, js将该内容提交给后端保存</p><p>(2)显示时,后端将字符串返回前端;js接收到之后:</p><p>a, 使用escapeHTML,将字符串转为 &amp;lt;script&amp;gt;alert(2);&amp;lt;/script&amp;gt;此时,浏览器将能正确解析,因为浏览器接收到实体字符后,转成对应的尖括号等。</p><p>b, 不使用escapeHTML,浏览器一看到&lt;,便认为是html标签的开始,直接把刚才的字符串当脚本执行了,这就是xss漏洞。</p><p>2,unescapeHTML将字符实体转成&lt; &gt; &amp; &quot; &#39;</p><p>使用场景:</p><p>后端将已经转义后的内容显示到页面;比如&amp;lt;script&amp;gt;alert(2);&amp;lt;/script&amp;gt;</p><p>js收到后:</p><p>a,前端进行unescapeHTML,则可以直接dom操作,将标签显示到页面。</p><p>b,前端没有unescapeHTML,则原样输出&lt;script&gt;alert(2);&lt;/script&gt;,但此时并没有执行。</p><p>转义字符:</p><p><img src="//file.outobe.com/0/202211/241437107583.png"/></p><p>提示:使用实体名而不是数字的好处是,名称易于记忆。不过坏处是,浏览器也许并不支持所有实体名称(对实体数字的支持却很好)。</p>
T:0.008042s,M:206.05 KB
返回顶部 留言