Comment coder un attribut d'élément HTML

Comment coder un attribut HTML à partir d'un modèle EJS dans NodeJS. Je dois faire quelque chose comme:Comment coder un attribut d'élément HTML

<img onmouseover=<% myString %> />

Où myString serait alors correctement échappé et cité comme attribut valide.

Source

2012-10-08 edA-qa mort-ora-y

Réponse courte:

myString = myString.replace(/'|\\/g, '\\$&');

Mais si vous avez besoin d'échapper les caractères spéciaux HTML trop vous pouvez essayer:

myString = myString.replace(/&/g, '&amp;'); 
myString = myString.replace(/</g, '&lt;'); 
myString = myString.replace(/>/g, '&gt;');

post-scriptum veillez à ne pas échapper les opérateurs JavaScript en utilisant les remplacements pour les caractères HTML!

Source

2012-10-08 12:23:00 micnic

-1: Ne pas faire des choses comme ça à la main, parce qu'il est jamais aussi simple qu'il n'y paraît. – kubal5003

Si vous voulez vous-même encoder des attributs, assurez-vous de [échapper tous les caractères spécifiés par OWASP] (https://www.owasp.org/index.php/XSS_ (Cross_Site_Scripting) _Prevention_Cheat_Sheet # RULE_.232 _-_ Attribute_Escape_Before_Inserting_Untrusted_Data_into_HTML_Common_Attributes) –

Vous pouvez essayer ceci:

npm install node-html-encoder 

app.locals.encoder = require('node-html-encoder').Encoder; 

<%= encoder.htmlEncode('<foo /> "bar"') %>

Source

2012-10-08 19:39:44 chovy

Comment coder un attribut d'élément HTML

Répondre

Questions connexes