問題タブ [html-encode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
linq-to-sql - linqtosqlおよびHtmlEncodeを使用する
linq-to-sqlを使用して、データをデータベースにロードおよび保存しています。保存またはロードするデータのほとんどはユーザー入力であり、生データを保存する可能性のあるすべてのリスクを回避するために、入力をHtmlEncodeすることにしました。これが私が行うことの要約です。
- 入力をデータベースに保存する前にエンコードします。
- 生データを操作できるように入力をデコードします。
- ユーザーに表示するために入力を再エンコードします。
問題は、データベースから取得したデータをユーザーが入力した実際の生データに変換するために別のビジネスオブジェクトを作成する必要があったため、linqビジネスオブジェクトがやや役に立たなくなったことです。
私は何か間違ったことをしていますか?ling to sqlを使用している場合、データベースに向かう途中でデータを本当に変換する必要がありますか?
html - エンコードされた HTML の正規表現
<a>
href 属性のみを含む開始タグに一致する正規表現を作成したいと思います。
上記と一致する必要がありますが、他の属性が追加された場合は一致しません。
通常、これは非常に簡単ですが、HTML はエンコードされています。したがって、上記の両方をエンコードするには、これと一致する正規表現が必要です。
しかし、これと一致しません:
エンコードされたすべての HTML が「有効」であると仮定し (奇妙で不正な形式の XSS トリックがない)、HTML サニタイズのベスト プラクティスに従う必要はないと仮定します。上記の A) に一致するが B) には一致しない最も単純な正規表現が必要なだけです。
ありがとう!
c# - クラスライブラリのHtmlEncode
クラスライブラリ(C#)があります。HtmlEncodeメソッドを使用してデータをエンコードする必要があります。これは、Webアプリケーションから簡単に実行できます。私の質問は、コンソールアプリケーションから呼び出されているクラスライブラリからこのメソッドをどのように使用するかです。
html - HTML内で何をエスケープする必要がありますか鬼ごっこ
<pre>
ブログのタグを使用してコードを投稿しています。に変更<
する必要があることはわかっています。正しいhtmlのためにエスケープする必要がある他の文字はありますか?<
>
>
html - mailto メールの件名の漢字
mailto: 電子メール リンクにいくつかの漢字を追加しようとしています。
私はもう試した
しかし、リンクをクリックすると、Outlook の件名に次のように表示されます。
调查亨德森 / お問い合わせ
私も試してみました
しかし、上記と同じ結果が得られます。
これは Outlook の問題である可能性があることは承知していますが、この機能を実装する正しい方法を見つけたいと思っています。
ruby - Ruby CGI.unescapeHTML が奇妙な文字を生成する
一連のマークダウン形式のコメントを XML ドキュメントにバックアップしました。これはもちろん、それらを HTML エスケープする必要があることを意味していました。CGI.unescapeHTML を使用しようとすると、すべてのブラウザーで適切にレンダリングされない一連の奇妙な文字がマークアップに追加されます。
具体的には、2 つのスペースを「\302\240」に置き換えますが、一貫性はありません。この動作を停止するにはどうすればよいですか?
例えば:
xml - XML内のHTML。CDATAを使用するか、HTMLをエンコードする必要があります
XMLを使用してHTMLコンテンツを共有しています。AFAIK、次のいずれかの方法でHTMLを埋め込むことができます。
エンコード:完全に安全に使用できるかどうかはわかりません。そして、私はそれをもう一度デコードする必要があります。
CDATAセクションを使用する:コンテンツに終了タグ "]]>"と特定の16進文字が含まれていると、問題が発生する可能性があると思います。一方、XMLパーサーは、情報を透過的に抽出します。
どのオプションを選択する必要がありますか?
更新:xmlはJavaで作成され、文字列として.net Webサービスに渡され、解析されます。したがって、xmlを文字列としてエクスポートし、「doc.LoadXml(xmlString);」を使用してロードできるようにする必要があります。
c# - .NET Compact Framework で HttpUtility.HtmlDecode メソッドを使用していますか?
.NET Compact Framework を使用するプロジェクトでは、System.Web ライブラリを使用できません。
.NET Compact Framework を使用して文字列を HTMLDecode するにはどうすればよいですか?
それを行うクラスは見つかりませんでした。
php - html_entity_decode を配列に追加するには?
codeigniter で TinyMCE でコンテンツエントリを作成しています。ただし、出力ソースは次のようになり、< と > が表示されません。代わりに、&lessthan; のような HTML エンティティが表示されます。とより大きいです。等
エントリは、ログイン後に管理者によって作成されます。
出力はデータベースから取得されます。
モデルでエスケープを取り出しましたが、それでも同じことを行います。
また、構成設定 $config['global_xss_filtering'] = FALSE; があります。
そこで、html_entity_decode を追加したいと思います。しかし、$page_data は配列です。配列には、ページ アイテムに使用される ID、タイトル、コンテンツ、スラッグがあります。
誰か教えてください。
出力例:
モデルコード:
コントローラーコード:
asp.net - HTMLEncodeスクリプトタグのみ
私はStackQL.netに取り組んでいます。これは、StackOverflowパブリックデータセットでアドホックなtsqlクエリを実行できる単純なWebサイトです。醜いですが(私はグラフィックデザイナーではありません)、機能します。
私が行った選択の1つは、投稿本文のコンテンツ全体をhtmlエンコードしたくないということです。このようにして、クエリの投稿からいくつかのフォーマットを確認できます。画像も読み込まれますが、大丈夫です。
<script>
ただし、これによってタグもアクティブのままになるのではないかと心配しています。誰かがstackoverflowの回答に悪意のあるスクリプトを植え付ける可能性があります。彼らはすぐにそれを削除することさえできたので、誰もそれを見ることができません。人々が最初にアクセスしたときに試みる最も一般的なクエリの1つは単純なSelect * from posts
ものであるため、少しのタイミングで、このようなスクリプトが複数の人々のブラウザで実行される可能性があります。10月のデータエクスポート(間もなくリリースされることを願っています)に更新する前に、これが問題にならないことを確認したいと思います。
スクリプトタグだけがエンコードされるようにするための最良で最も安全な方法は何ですか?