6
安全でないHTMLを含む可能性のある文字列があります。 <script>を<script>HTMLの文字列をエスケープするにはどうすればよいですか?
に変更すると、文字列のタグをエスケープしたいのですが、ダーツでどうすればいいですか?
A
答えて
8
HtmlEscapedart:convertから使用してください。
import 'dart:convert' show HtmlEscape;
void main() {
var unsafe = 'Hello <script>world</script>';
var sanitizer = const HtmlEscape();
print(sanitizer.convert(unsafe));
}
上記のアプリのプリント:
Hello <script>world</script>
デフォルトの動作は、アポストロフィをエスケープすることです、大なり/小なり、引用符、およびスラッシュ。
エスケープするものを制御する場合は、HtmlEscapeModeの新しいHtmlEscapeを作成できます。例えば
、唯一の大なり/小なりとスラッシュエスケープし、これを試してみてください。
var sanitizer = const HtmlEscape(HtmlEscapeMode.ELEMENT);
を忘れないでください、彼らはHTMLに入る前に、ダートは自動的に文字列をサニタイズ。したがって、HTMLスクリプトを手動でエスケープする必要はありません。安全でない文字列でelement.setInnerHtmlを呼び出すと、それは消毒されます。
関連する問題
- 1. \ nをHTML属性からjs文字列にエスケープするにはどうすればよいですか?
- 2. StringBuilderのToStringメソッドが文字列のエスケープ文字をエスケープしないようにするにはどうすればよいですか?
- 3. パイプ "|"をエスケープするにはどうすればいいですか?クエリ文字列の文字KSH Linux?
- 4. Pythonを使用してHTMLエスケープ文字を置き換えるにはどうすればよいですか?
- 5. 文字列からHTMLエンコード文字を削除するにはどうすればよいですか?
- 6. XML内でこの(塩)文字列をエスケープするにはどうすればよいですか?
- 7. ノードでシェルコマンドの文字列をエスケープするにはどうすればよいですか?
- 8. PowerShellの文字列で "Quotes"をエスケープするにはどうすればよいですか?
- 9. dbから "エスケープ"文字列を取得するにはどうすればよいですか?
- 10. 文字列内の文字列を文字列内で渡すにはどうすればよいですか?
- 11. エスケープ文字を文字として印刷するにはどうすればよいですか?
- 12. Wordアドインでプログラムによる検索で文字をエスケープするにはどうすればよいですか?
- 13. `$ like`ワイルドカード文字を`% `と` _ `のようにエスケープするにはどうすればいいですか?
- 14. 特殊文字を含む文字列をエスケープされた別の文字列に変換するにはどうすればいいですか?
- 15. ストライプフレームワーク:フォームで文字列エスケープを無効にするにはどうすればいいですか?
- 16. EXPECTがエスケープ文字をコマンド文字に解釈するにはどうすればいいですか?
- 17. MySQLで特殊文字をエスケープするにはどうすればよいですか?たとえば
- 18. 文字列内の\文字を/文字に変更するにはどうすればよいですか?
- 19. どのようにエスケープ文字でC#で文字列を構築する
- 20. 文字列/数字を文字列に追加するにはどうすればよいですか?
- 21. 接続文字列はどうすればよいですか?
- 22. Cの文字配列から文字列を取得するにはどうすればよいですか?
- 23. テキストファイルからJava文字列に文字列をコピーするにはどうすればよいですか?
- 24. 文字列をiOSの部分文字列に分割するにはどうすればよいですか?
- 25. 文字列の一部を文字列に追加するにはどうすればよいですか?
- 26. C#で文字列をPascalCase文字列に変換するにはどうすればよいですか?
- 27. JSONの文字列をHTMLのプレタグに追加するにはどうすればよいですか?
- 28. HTMLタグがエスケープされないようにするにはどうすればよいですか?
- 29. SASSの使用フォントの宣言でスラッシュ文字をエスケープするにはどうすればよいですか?
- 30. Google BigQuery用のJavaScript UDFの中で文字をエスケープするにはどうすればよいですか?
逆に、HTMLエンティティを含む文字列を解析し、クリーンな文字列を取得しますか?実装されていないようです:https://code.google.com/p/dart/source/browse/branches/1.6/dart/sdk/lib/convert/html_escape.dart –
** Element.setInnerHtmlがサニタイズするという事実デフォルトでは一般的に、出力をエスケープする必要はありません。**サニタイザーはXSSからあなたを守りますが、出力をエスケープするのは忘れてしまいますが、依然として不正な形式の出力が生成されます。正しい動作のためにはまだエスケープする必要があります。消毒剤は安全網である。 また注意する価値があります。サニタイザーをバリデーターに置き換えることができます。バリデーターは、出力を静かにマングリングするのではなくエラーを引き起こします。 a)プログラムのエラーを警告し、b)エスケープを忘れていることを明白にしないため、これが望ましいかもしれません。 – ngroot