6
A
回答
8
使用HtmlEscape從dart:convert
。
import 'dart:convert' show HtmlEscape;
void main() {
var unsafe = 'Hello <script>world</script>';
var sanitizer = const HtmlEscape();
print(sanitizer.convert(unsafe));
}
上述應用打印:
Hello <script>world</script>
默認行爲是逃避撇號,大於/小於,報價和斜槓。
如果您想控制什麼是轉義,您可以創建一個新的HtmlEscape
與HtmlEscapeMode。
例如,爲了躲避只,大於/小於和斜槓,試試這個:
var sanitizer = const HtmlEscape(HtmlEscapeMode.ELEMENT);
記住,飛鏢他們進入HTML之前自動進行消毒字符串。所以你可能不需要手動轉義HTML腳本。如果您使用不安全的字符串致電element.setInnerHtml
,它將被清理。
相關問題
- 1. 轉義HTML字符串
- 2. PHP轉義JSON內的HTML字符串
- 3. XSLT和轉義的HTML字符串
- 4. HTML中未轉義的字符串
- 5. .Net將字符串轉換爲HTML轉義字符的方法
- 6. 如何將字符串轉換爲HTML友好的字符串
- 7. 轉義HTML字符
- 8. HTML轉義字符
- 9. 如何去掉字符串中的html標籤,然後轉義純字符串並將轉義字符串轉換爲html標籤返回
- 10. 當我需要轉義Html字符串?
- 11. Java轉義HTML - 字符串替換慢?
- 12. 轉義字符串--PHP在html元素
- 13. ASP.NET非html轉義字符串到GridView
- 14. Javascript無法轉義Html字符串
- 15. 解析特殊字符並轉換爲HTML(轉義字符串)
- 16. 如何HTML轉義Java字符串中的捲動引號
- 17. 如何在Backbone.js中從服務器的HTML轉義字符串?
- 18. 如何轉義XML的字符串?
- 19. 字符串轉義字符
- 20. SSRS如何呈現HTML轉義字符
- 21. 如何將字符串轉換爲html
- 22. 如何將HTML轉換爲字符串?
- 23. 轉義我的HTML字符
- 24. 字符串轉義
- 25. 如何在Android中替換JSON字符串中的HTML轉義字符
- 26. 在HTML頁面中字符串中的字符轉義?
- 27. 如何在一個字符串內轉義html實體
- 28. Dojo工具包:如何轉義HTML字符串?
- 29. 如何在Java中轉義此HTML字符串?
- 30. 如何聯合國轉義html字符串
什麼是相反的:解析包含HTML實體的字符串並獲取乾淨的字符串?似乎沒有實現:https://code.google.com/p/dart/source/browse/branches/1.6/dart/sdk/lib/convert/html_escape.dart –
** Element.setInnerHtml淨化事實默認情況下,通常並不意味着你不需要轉義輸出。**消毒劑將(希望)保護你免受XSS的影響,如果你忘記逃離你的輸出,但仍會產生格式錯誤的輸出。你仍然需要逃避正確的行爲;消毒劑是一個安全網。 另外值得注意的是:你可以用一個驗證器代替衛生洗滌劑,這會導致錯誤而不是默默地改變輸出。這可能是可取的,因爲它會a)提醒你在你的程序中有一個錯誤,並且b)沒有讓你明白你忘記了逃脫。 – ngroot