如何在javascript中取消转义html？ [复制]

Question

我正在使用一个 Web 服务，它会给我以下值：

var text = "<<<&&&";

我需要用javascript打印这个看起来像“

但这里有个问题：我不能使用内部 HTML（我实际上是将此值发送到创建文本节点的原型库，因此它不会对我的原始 html 字符串进行转义。如果编辑库不会是选项，你将如何对这个 html 进行转义？

我需要在这里了解真正的交易，取消转义这种类型的字符串有什么风险？ innerHTML 是如何做到的？还有哪些其他选择？

编辑-问题不在于使用 javascript 正常的转义/unescape 甚至 jQuery/prototype 实现它们，而是关于使用任何这些可能带来的安全问题......又名“他们告诉我使用它们非常不安全”

（对于那些试图理解我在用 innerHTML 转义这个奇怪的字符串时到底在说什么，看看这个简单的例子：

<html>
<head>
<title>createTextNode example</title>

<script type="text/javascript">

var text = "&lt;&lt;&lt;&amp;&amp;&amp;";
function addTextNode(){
    var newtext = document.createTextNode(text);
    var para = document.getElementById("p1");
    para.appendChild(newtext);
}
function innerHTMLTest(){
    var para = document.getElementById("p1");
    para.innerHTML = text;
}
</script>
</head>

<body>
<div style="border: 1px solid red">
<p id="p1">First line of paragraph.<br /></p>
</div><br />

<button onclick="addTextNode();">add another textNode.</button>
<button onclick="innerHTMLTest();">test innerHTML.</button>

</body>
</html>

Answer 1

尝试 Javascript 中可用的转义和取消转义函数

更多详情：http://www.w3schools.com/jsref/jsref_unescape.asp

Answer 2

一些猜测它的价值。

innerHTML 字面意思是解释 hte html 的浏览器。

所以

带有 & 的字符串最大的安全风险是 eval 语句，任何 JSON 都可能使应用程序不安全。我不是安全专家，但如果字符串仍然是字符串，那么你应该没问题。

这是 innerHTML 的另一种安全方式，未转义的字符串正在变成 html，因此它没有运行 javascript 的风险。

Answer 3

只要您的代码正在创建文本节点，浏览器就不应呈现任何有害的内容。事实上，如果您使用 Firebug 或 IE 开发工具栏检查生成的文本节点的源代码，您会看到浏览器正在重新转义特殊字符。

试一试

"<script>"

然后它重新转义到：

"<script>"

有几种类型的节点：元素、文档、文本、属性等。

危险在于浏览器将字符串解释为包含脚本。 innerHTML 属性容易受到这个问题的影响，因为它会指示浏览器创建 Element 节点，其中之一可能是脚本元素，或者具有内联 Javascript，例如 onmouseover 处理程序。创建文本节点可以规避这个问题。

Answer 4

将您的测试字符串更改为 <b><<&&&</b> 以更好地处理风险是什么...（或者更好的是 <img src='http://www.spam.com/ASSETS/0EE75B480E5B450F807117E06219CDA6/spamReg.png' onload='alert(document.cookie);'> 用于窃取 cookie 的垃圾邮件）

查看http://jsbin.com/uveme/139/ 的示例（基于您的示例，使用原型进行转义。）尝试单击四个不同的按钮以查看不同的效果。只有最后一个是安全风险。 （您可以在 http://jsbin.com/uveme/139/edit 查看/编辑源代码）该示例实际上并没有窃取您的 cookie...

1. 如果您的文本来自已知安全的来源并且不是基于任何用户输入，那么您是安全的。
2. 如果您使用createTextNode 创建一个文本节点并使用appendChild 将该未更改的节点对象直接插入到您的文档中，您是安全的。李>
3. 否则，您需要采取适当的措施来确保不安全的内容无法进入查看者的浏览器。

注意：As pointed out by Ben Vinegar 使用 createTextNode 不是灵丹妙药：使用它来转义字符串，然后使用 textContent 或 innerHTML 将转义的文本取出并用它做其他事情并不能保护你在您以后的使用中。特别是，escapeHtml method in Peter Brown's answer below 如果用于填充属性是不安全的。

Answer 5

function mailpage()
{ mail_str =  "mailto:?subject= Check out the " + escape( document.title ); 
      mail_str += "&body=" + escape("I thought you might be interested in the " + document.title + ".\n\n" );
      mail_str += escape("You can view it at " + location.href + ".\n\n");
      location.href = mail_str;
}

Answer 6

一个很好的阅读是http://benv.ca/2012/10/4/you-are-probably-misusing-DOM-text-methods/，它解释了为什么使用 createTextNode 的约定智慧实际上根本不安全。

上述风险的代表性示例：

function escapeHtml(str) {
    var div = document.createElement('div');
    div.appendChild(document.createTextNode(str));
    return div.innerHTML;
};

var userWebsite = '" onmouseover="alert(\'derp\')" "';
var profileLink = '<a href="' + escapeHtml(userWebsite) + '">Bob</a>';
var div = document.getElementById('target');
div.innerHtml = profileLink;
// <a href="" onmouseover="alert('derp')" "">Bob</a>