6
У меня есть строка, которая может содержать небезопасный HTML. Я хочу избежать тегов в строке, меняя <script> на <script>Как избежать строки для HTML?
Как я могу сделать это с помощью дротика?
A
ответ
8
Использовать HtmlEscape от dart:convert.
import 'dart:convert' show HtmlEscape;
void main() {
var unsafe = 'Hello <script>world</script>';
var sanitizer = const HtmlEscape();
print(sanitizer.convert(unsafe));
}
Вышеприведенное печатает приложение:
поведенияHello <script>world</script>
по умолчанию является бежать апостроф, больше чем/меньше чем, цитат, и косых.
Если вы хотите контролировать, что скрывается, вы можете создать новый HtmlEscape с HtmlEscapeMode.
Например, чтобы избежать только больше чем/меньше чем и косые, попробуйте следующее:
var sanitizer = const HtmlEscape(HtmlEscapeMode.ELEMENT);
Помните, Dart автоматически дезинфицирует строки, прежде чем они попадают в HTML. Таким образом, вам может не понадобиться вручную скрывать скрипт HTML. Если вы вызываете element.setInnerHtml с небезопасной строкой, он будет подвергнут санитарной обработке.
Смежные вопросы
- 1. Dojo Toolkit: как избежать строки HTML?
- 2. Как избежать строки для XML?
- 3. избежать разрыва строки в HTML вывода PHP
- 4. Как избежать строки JSON?
- 5. Как избежать объектов HTML?
- 6. Как избежать HTML
- 7. Как избежать строки JQuery
- 8. Не удается избежать строки html для построения xml
- 9. Как избежать строки для сгенерированного C++?
- 10. Как избежать строки для запроса SQLite FTS
- 11. Как избежать строки для хранения в JSON
- 12. Как избежать просмотра строки вывода php (5) «,,,,,» на странице html
- 13. Как избежать HTML строки, имеющие несколько двойных кавычек
- 14. избежать HTML документа перекомпоновки
- 15. Как избежать identation после разрыва строки в HTML
- 16. Как избежать пробелов в правой части строки в HTML?
- 17. Как я могу избежать этой строки HTML в Java?
- 18. Как избежать повторяющегося кода html?
- 19. Как избежать новой строки из строки
- 20. Как разобрать [HTML Object] для HTML строки
- 21. Как избежать # # из строки интерполяции
- 22. Как избежать HTML в JSON
- 23. Как избежать строки в бритве?
- 24. как избежать строки в Mysqli
- 25. Как избежать '\' из строки в PHP?
- 26. Как избежать строки в Android?
- 27. Как избежать строки в Java?
- 28. Как избежать создания новой строки?
- 29. Как избежать строки в mySQL
- 30. Как избежать строки в .aspx
И что будет наоборот: проанализировать строку, содержащую объекты HTML, и получить чистую строку? Кажется, что это не реализовано: https://code.google.com/p/dart/source/browse/branches/1.6/dart/sdk/lib/convert/html_escape.dart –
** Тот факт, что Element.setInnerHtml дезинфицирует по умолчанию, как правило, не означает, что вам не нужно выводить вывод. ** Дезинфицирующее средство (надеюсь) защитит вас от XSS _if_, вы забудете избежать выхода, но все равно будете генерировать неверный результат. Вам все равно нужно бежать за правильным поведением; дезинфицирующее средство является защитной сетью. Также стоит отметить: вы можете заменить дезинфицирующее средство валидатором, что приведет к ошибке, а не к молчанию при работе с выходом. Это может быть желательно, так как оно будет а) предупреждать вас об ошибке в вашей программе и b) не делает очевидным, что вы забыли побег. – ngroot