スマートHTMLエンコーディング

Question

"スマート"なHTMLエンコーディングを行う最良の方法を探しています。例えば ：HtmlEncodeが呼び出されたかのように

From: <a>Next >></a> to: <a>Next gt;gt;</a> 
From: <p><a><b><< Prev</b></a><br/><a>Next >></a></p> to: <p><a><b>&lt;&lt; Prev</b></a><br/><a>Next gt;gt;</a></p> 

ので、テキストの唯一の非XML/HTMLの一部をコード化されるだろう。

提案がありますか？

EDIT：これはできるだけ軽量である必要があります。入力テキストは、HTMLエンコーディングを知らないユーザーからのものです。

Answer 1

おそらく、このために良い正規表現を作成しようとします。あなたはコードの背後にある（C＃）か、JavaScriptを使ってクライアント側でこれをやっていますか？

http://www.regular-expressions.info/

Answer 2

はい：あなたのソースコードにない史上書き込みHTMLを行います。 DOMのようなAPIを使用して、エンコードの問題をすべて処理してください。

Answer 3

ソリッドで信頼性の高いC＃ソリューション（重量級）が必要な場合は、HTML Agility Pack libraryを使用します。その後、ノードを反復し、HTMLエンコードすることができます。これは、正規表現よりも少し弾丸的ですが、明らかにより強烈です。

クライアント側で実行する場合は、JQueryを使用します。 Encode HTML entities with jQueryを参照してください。

Answer 4

おそらく間違った問題を解決しようとしています。 （私は、これはあなたが聞きたいものではありません知っている。）

をユーザーがHTMLにエンコードされていない>>と<<を書き込むことが許可されている場合は、おそらく、彼らはまた、<>または<b>を書くことができるようになり、その場合に方法はありませんテキストとマークアップを確実に区別することができます。 （XSS攻撃の脆弱性に気をつけてください）

実際にテキストを傍受してにエンコードする前に、をHTMLに挿入します。おそらく問題につながるワークフローについて説明する必要があります。それを解決するにはより良い方法が必要です。

コメントに応じて編集：同時にテキストまたはHTMLのどちらかになる入力を確実にエンコードする方法はありません。とにかく、ユーザーが生のHTMLを入力するのに十分な技術を持っていれば、おそらくエンティティを書くことができます。そうでなければ、生のHTMLを最初に入力すべきではありません。 HTML入力が上級ユーザーのみの場合は、入力がテキストかHTMLかを示すチェックボックスを付けることができます。しかし、おそらくリッチテキストエディタの使用を検討する必要があります。

Answer 5

あなたはtidy.netの使用について考えましたか？あなたはそれにあなたのユーザーの入力を投げ、それが来るものを見ることができます、それは非常に、非常に、非常に良いとあなたが実際に欲しいものにゴミを回す。そのDLLとすべてのマネージドコードは、あなたが簡単にそれをボルトで入れることができるように信じています。

正規表現のバンドワゴンについては、私は同意しません。データが限定されている場合（あなたがそうであるかどうかを言わない場合）、少なくともそれを掃除しないと入力文字列を検証しようとするためのいくつかのルールを考え出すことができます。私はあなたのデータが文字通り何かになる可能性があると思うが、あなたは他の何かを使うのが良いだろうが、完全に排除すべきではない。