問題タブ [html-escape-characters]

XSS 攻撃を防ぐためにユーザー入力をきれいにしたいのですが、ユーザーが HTML / CSS を投稿する必要がないため、必ずしも HTML ホワイトリストを用意する必要はありません。

そこにある代替案を見て、どれがより良いでしょうか? [Apache Commons Text の StringEscapeUtils] [1] または [JSoup Cleaner][2]?

ありがとう！

アップデート：

JSoup と Apache Commons Text の両方の単体テストを作成した後、JSoup を使用しました。

JSoup が単一引用符をいじらない点が気に入っています (つまり、"Alan's mom" は変更されませんが、Apache Commons Text はそれを "Alan's mom" に変えます)。

そして、ホワイトリストはまったく問題ではありませんでした. 構成は必要ありませんが、HTML タグの一部のサブセットを許可することを選択した場合に役立ついくつかの組み込みオプションが含まれています。[1]: https://commons.apache.org/proper/commons-text/apidocs/org/apache/commons/text/StringEscapeUtils.html [2]: http://jsoup.org/cookbook/cleaning-html /ホワイトリストサニタイザー

箇条書き、著作権記号、商標記号を Web ブラウザーで表示すると、問題なく表示されます。

しかし、Android WebView を次のように使用すると、「三角形の中に疑問符」が表示されます。

別のエンコーディングを使用する必要がありますか?

特定の文字を自分で検索/置換する必要があります... 1 つずつですか?

私はいくつかのjspvarfooを持っていると言います

そして私は次のjsを持っています

これは明らかにエラーを生成します

ステートメントが最終的に

ただし、引数$ {foo}を二重引用符で囲むだけでは不十分です。これは、fooの値の文字列に二重引用符が1つ含まれている可能性があるため、同じ問題が発生するためです。fooは任意の文字列である可能性があると想定します。例が明確になるように、fooのバーに設定するだけです。現在、私は次のように問題を解決しています：

およびSomeFunction内：

この解決策はうまくいくようです-私がいくつかのコーナーケースを見逃していないと仮定します。ただし、これが最善の解決策であるとは確信していません。改善のための代替案や提案はありますか？その一時的なdivを使用することは、私には一種のハッキーのように思われます。私は、それが必要とされないソリューションを好みます。

このコード行をタグでレンダリングして<pre>、画面に通常のテキストとして表示します。

ただし、複数のブラウザで次のように誤ってレンダリングされています。

セント記号のエスケープコードはそうでは¢ないので&cent、なぜこれが起こっているのかわかりません。それを防ぐ方法はないようです。誰か助けてもらえますか？

また、私のDoctype：

違いがある場合は、このコード行がJavascriptのinnerHTMLメソッドによってドキュメントに追加されています。

私はいくつかのビデオを表示するために jPlayer を使用しており、php foreach ステートメントでその場でプレイリストを作成します。

そして$val->getDes()例はI have a one-hour (approximately) solo musical revue called "Manhattan With A Twist". The entire...

私が得るエラーは

文字列の先頭にある を指して'います。

私がすることができます：title: "<?php echo htmlspecialchars($val->getTitle());?>",

同じエラーが発生しますが、"代わりに'.

ここで何が起こっているのかわかりません。逃げられないことへの不満なの'か、それとも何なのか。

何か案は？

テンプレート（htmlおよびphp）を実装しました。これにより、一部（入力およびテキスト領域）のテキストを編集できます。

テキストを編集した後、それをmysqlデータベースに保存し、後でこのテンプレートを呼び出すことができます。mysqldatabaseに保存したこのテキストをインターネットエクスプローラーで呼び出すと、テキストはそのhtmlタグで呼び出され、textareaに次のように表示されます。

<p></p>Internet Explorerに、それと他のhtmlタグがhtmlタグであることを伝える方法は？

Firefoxで動作します。

PowerShellスクリプトを使用して単純なHTMLを生成していますが、結果のHTMLで使用されている文字列をエスケープしたいと思います（HTML固有の記号を含めることができるため）。

例えば：

次のように変換する必要があります。

そのための組み込み関数はありますか？

私はオープンカートサイトのフォームでいくつかのHTMLをエスケープしようとしています-それは私を失望させているセッションデータを使用したカスタムコーディングです。現在私は持っています：

私は使用しようとしました：

しかし、これはうまくいきませんでした。htmlentities変数の前から始めるべきだと思いました。

これは、MVCでPHPを使用しているオープンカートFYIにあります。

Django 1.4 を使用して Web アプリを作成しています。次のコードを使用して、ビューの 1 つに mirosoft ワード ドキュメントを出力させたいと考えています。

次に、file.docを正常にダウンロードできますが、.docファイルを開くと、このような生のhtmlしか見つかりません

見出し1のタイトルではありません。

私はPythonとDjangoを初めて使用します。これはおそらくhtmlエスケープの問題であることを知っています。誰かがこれを手伝ってくれますか? ありがとうございました ！：）

ルートによって異なる動作をするタグを作成しようとしていますが、@{ ... }ブロック内で html をレンダリングしようとすると、変数を正しく挿入できないようです。

ページをロードすると、Firebug コンソールに構文エラーが表示され、script タグの内容が次のように評価されたことが明らかになりました。

alert("/accounts");

今、ブロック全体@Html{ ... }を and@Html( ... )と で囲んでみました。@Html({ ... })私もalert(@Html("{bar}"));他の同様のことを試しましたが、すべてがさまざまなエラーを引き起こします。

これを行う正しい方法は何ですか？

編集

簡単にするために 1 つの変数のみを使用しようとすること、およびその変数がどこから来たのかを示すように更新されました。