問題タブ [html-encode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - HTMLエンコーディングサーバー側とクライアント側
自分のページでコメント投稿を有効にしたいので、投稿を送信してデータベースに挿入する前に、HTMLエンコーディングを実行する必要があります。
これの理想的な側面は何ですか?
サーバー側(私はasp.netで動作します)またはクライアント側(javascript)?
c# - ASP.NET コントロールを二重引用符で囲みます
私はブログ投稿のリピーターで作業しており、一番下に ShareThis JavaScript ピースを表示しています。投稿のタイトルと URL が JS に送信されています。あるテストケースでは、投稿のタイトルに一重引用符が含まれています。
マークのテスト投稿
ShareThis に送信するときにその単一引用符を保持する必要があるため、その JavaScript 文字列を二重引用符で囲む必要がありますが、文字列はリテラルを介してバインドされており、リテラルを二重引用符で囲むことはできません。
これは欲しいのですが、機能しません:
次のように、リテラルを一重引用符で囲むことしかできません。
しかし、それは悪いフロントエンドコードになります:
これを正しくエンコードするにはどうすればよいですか、またはコントロールを二重引用符で囲むにはどうすればよいですか? 私は知ってHttpUtility.HtmlEncode
いServer.HtmlEncode
ますが、それらがどのように役立つかわかりません。
php - str_replace で特殊文字を削除できない
str_replace には非常に些細な問題があります。
次のような En Dash 文字 ( - ) を含む文字列があります。
html出力は
私はこれをしたい:
html_entity_decode を使用して文字列を解析し、削除する文字を htmlspecialchars で解析しようとしましたが、結果はありませんでした。
私が間違っていることは何ですか?
-編集-これは私のスクリプトの完全なコードです:
誰も働きません。基本的に問題は、ダッシュが「マイナス」としてDBに保存されていることです(マイナスキーで値を入力します)が、奇妙な理由で出力は &ndash ; です。
私はWordpressで実行しており、文字セットはDB照合と同じUTF-8です。
javascript - 4.0 でクライアント側のオンロード関数を ASP.NET コントロールに追加すると、引用符がエンコードされます
asp:Panel の onLoad イベントに Javascript 関数を追加しようとしています。次のようになります。
この機能を他のコントロール (チェックボックスとボタン) にアタッチしていますが、正常に動作しています。しかし、PagesPanel (私の asp:Panel コントロール) では、関数を HTMLEncodes します。出力ソースは次のようになります。
割り当てで Server.HTMLDecode を試みましたが、同じ結果が得られます。私は.net 4.0でこれに遭遇しました。確かに文字か何かをエスケープする方法はありますか?
c# - FortifyとAntiXSS
私の会社では、コードをリリースする前に、ASP.NETコードでFortify360スキャンに合格する必要があります。HTML出力をサニタイズするためにどこでもAntiXSSを使用しています。また、入力を検証します。残念ながら、彼らは最近、Fortifyが使用していた「テンプレート」を変更し、現在、すべてのAntiXSS呼び出しに「不十分な検証」のフラグを立てています。これらの呼び出しは、AntiXSS.HTMLEncode(sEmailAddress)のようなことを行っています。
Fortifyを満足させるものを正確に知っている人はいますか?フラグが立てられているものの多くは、値がデータベースから取得され、ユーザーからはまったく取得されない場合に出力されるため、HTMLEncodeが十分に安全でない場合、何が何であるかわかりません。
javascript - innerHTMLに依存しないhtml_entity_decodeに相当するjavascript?
PHP のhtml_entity_decodeの JavaScript バージョンを探しています。私はこれを見つけました:
ただし、FBML/FBJS Facebook キャンバス アプリ用にこのコードを記述する必要があり、innerHTML や類似のものを無効にしているため、これを使用することはできません (狂気、私は知っています)。
文字列を要素に貼り付けて再び引き戻すことに頼らない、これを行う他の方法はありますか? FBJSで許可されている関数のみを使用してください。
xml - Erlangで文字列をXMLエンコードするにはどうすればよいですか?
&"<などの文字を含む可能性のあるerlang文字列があります。
文字列を解析し、次のような必要なすべてのHTML /XMLエンティティをエンコードするErlang関数がどこかにありますか?
?
私のユースケースは、ユーザー入力から来る比較的短い文字列です。xmlencode関数の出力文字列は、XML属性のコンテンツになります。
最終的なXMLは、ネットワークを介して適切に送信されます。
javascript - ページにレンダリングされ、最終的にURLで使用される値をエンコードするにはどうすればよいですか?
追跡ソリューション(etracker)の一部としてhtmlページにレンダリングされるスクリプトがあります。
これは次のようなものです。
これは、私が制御していないJavaScriptによって追跡ソリューションのサーバーに送信されます。2点になります。アイテムは、ソース内でセミコロンで区切られています(「100045」の後)。
レンダリングされる値をHtml(エンコードおよびJavascript)でエンコードする必要があることは明らかです。最初にHTMLエンコードし、その後一重引用符を削除します。
これは機能しますが、フランス語とドイツ語の特殊文字、たとえばウムラウト(ü、ä...)に問題があります。{のようなものをレンダリングします。記事としてlarsümlautを使用した場合のスクリプトの出力は次のとおりです。
セミコロンは、追跡ソリューションによってアイテム区切り文字として評価されます。
追跡ソリューションのサポートにより、値をurlエンコードするように指示されました。これは機能しますか?URLエンコードはxss-atacksを止めないと思います。最初にurl-encodeとhtml-encodeを実行し、次にjavascript-encodeを実行しても大丈夫ですか?
asp.net - Razor ビューでエンコードされていない文字列を出力する
ScottGu がブログ投稿で述べているように、 「デフォルトでは、@ ブロックを使用して出力されたコンテンツは自動的に HTML エンコードされ、XSS 攻撃のシナリオからより適切に保護されます」。私の質問は、HTML でエンコードされていない文字列をどのように出力できますか?
簡単にするために、次の単純なケースに固執します。
asp.net - ASP.NET 4でデフォルトでHTMLエンコーディングをオンにすることは可能ですか?
ASP.NET 4では、new演算子を使用して<%: ... %>
HTMLエンコードされた文字列を出力できます。オペレーターが文字列もHTMLエンコードするように(web.configで)ASP.NET 4を構成することは可能ですか?<%= ... %>