6

ユーザー入力をクライアント側 (javascript) の XML ドキュメントに保存し、それをサーバーに送信して永続化しようとしています。

たとえば、あるユーザーが STX 文字 (0x2) を含むテキストを貼り付けました。XMLSerializer は STX 文字をエスケープしなかったため、整形式の XML にシリアル化されませんでした。または、おそらく .attr() 呼び出しで STX 文字をエスケープする必要がありましたが、どちらの場合も、無効な XML が生成されました。

ブラウザー内の XMLSerializer() の出力が常に適切な形式であるとは限らないことがわかりました (ブラウザー自体の DOMParser() を満たしていません)

この例は、STX 文字が XMLSerializer() によって適切にエンコードされていないことを示しています。

> doc = $.parseXML('<?xml version="1.0" encoding="utf-8" ?>\n<elem></elem>');
    #document
> $(doc).find("elem").attr("someattr", String.fromCharCode(0x2));
    [ <elem someattr=​"">​&lt;/elem>​ ]
> serializedDoc = new XMLSerializer().serializeToString(doc);
    "<?xml version="1.0" encoding="utf-8"?><elem someattr=""/></elem>"
> $.parseXML(serializedDoc);
    Error: Invalid XML: <?xml version="1.0" encoding="utf-8"?><elem someattr=""/></elem>

ブラウザー内で (任意のユーザー入力によって決定されるパラメーターを使用して) XML ドキュメントを作成して、常に整形式 (すべてが適切にエスケープされる) になるようにするにはどうすればよいですか? IE8 や IE7 をサポートする必要はありません。

(もちろん、サーバー側で XML を検証しますが、ブラウザーが整形式でないドキュメントをサーバーに渡した場合、サーバーができる最善の方法はそれを拒否することです。これは、貧弱なユーザーにとってはあまり役に立ちません。 )

4

2 に答える 2

12

これは、割り当て前に文字列をクレンジングするために使用できる関数sanitizeStringForXML()、またはDOMツリーを渡すことができ属性とtextNodeを自動的にサニタイズして安全に保存できる派生関数removeInvalidCharacters(xmlNode)です。

var stringWithSTX = "Bad" + String.fromCharCode(2) + "News";
var xmlNode = $("<myelem/>").attr("badattr", stringWithSTX);

var serializer = new XMLSerializer();
var invalidXML = serializer.serializeToString(xmlNode);

// Now cleanse it:
removeInvalidCharacters(xmlNode);
var validXML = serializer.serializeToString(xmlNode);

これは、このwikipedia記事の制限なし文字セクションの文字リストに基づいていますが、補助プレーンには5桁のUnicode文字が必要であり、Javascript正規表現にはこのための構文が含まれていないため、今のところ、それらを取り除いているだけです(あなたはあまり見逃していません...):

// WARNING: too painful to include supplementary planes, these characters (0x10000 and higher) 
// will be stripped by this function. See what you are missing (heiroglyphics, emoji, etc) at:
// http://en.wikipedia.org/wiki/Plane_(Unicode)#Supplementary_Multilingual_Plane
var NOT_SAFE_IN_XML_1_0 = /[^\x09\x0A\x0D\x20-\xFF\x85\xA0-\uD7FF\uE000-\uFDCF\uFDE0-\uFFFD]/gm;
function sanitizeStringForXML(theString) {
    "use strict";
    return theString.replace(NOT_SAFE_IN_XML_1_0, '');
}

function removeInvalidCharacters(node) {
    "use strict";

    if (node.attributes) {
        for (var i = 0; i < node.attributes.length; i++) {
            var attribute = node.attributes[i];
            if (attribute.nodeValue) {
                attribute.nodeValue = sanitizeStringForXML(attribute.nodeValue);
            }
        }
    }
    if (node.childNodes) {
        for (var i = 0; i < node.childNodes.length; i++) {
            var childNode = node.childNodes[i];
            if (childNode.nodeType == 1 /* ELEMENT_NODE */) {
                removeInvalidCharacters(childNode);
            } else if (childNode.nodeType == 3 /* TEXT_NODE */) {
                if (childNode.nodeValue) {
                    childNode.nodeValue = sanitizeStringForXML(childNode.nodeValue);
                }
            }
        }
    }
}

これは、属性とtextNodesのnodeValuesから無効な文字のみを削除することに注意してください。タグ名や属性名、コメントなどはチェックしません。

于 2013-02-10T19:40:04.847 に答える