Escape teks untuk HTML

Question 1

Bagaimana cara meloloskan teks untuk penggunaan html di C #? aku ingin melakukan

sample="<span>blah<span>"

dan memiliki

<span>blah<span>

muncul sebagai teks biasa, bukan bla hanya dengan tag bagian dari html :(. Menggunakan C # bukan ASP

Question 2

using System.Web;

var encoded = HttpUtility.HtmlEncode(unencoded);

Question 3

Juga, Anda dapat menggunakan ini jika Anda tidak ingin menggunakan System.Webrakitan:

var encoded = System.Security.SecurityElement.Escape(unencoded)

Berdasarkan artikel ini , perbedaan antara System.Security.SecurityElement.Escape()dan System.Web.HttpUtility.HtmlEncode()adalah bahwa yang pertama juga menyandikan (')karakter apostrof .

Question 4

Jika Anda menggunakan .NET 4 atau lebih tinggi dan Anda tidak ingin referensi System.Web, Anda dapat menggunakan WebUtility.HtmlEncodedariSystem

var encoded = WebUtility.HtmlEncode(unencoded);

Ini memiliki efek yang sama HttpUtility.HtmlEncodedan lebih disukai daripada System.Security.SecurityElement.Escape.

Question 5

belum ada yang menyebutkan, di ASP.NET 4.0 ada sintaks baru untuk melakukan ini. dari pada

<%= HttpUtility.HtmlEncode(unencoded) %>

Anda bisa melakukannya

<%: unencoded %>

baca lebih lanjut di sini: http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and- asp-net-mvc-2.aspx

Question 6

.NET 4.0 dan yang lebih baru:

using System.Web.Security.AntiXss;
//...
var encoded = AntiXssEncoder.HtmlEncode("input", useNamedEntities: true);

Question 7

Anda dapat menggunakan tag html yang sebenarnya <xmp>dan </xmp>menampilkan string sebagaimana untuk menampilkan semua tag di antara tag xmp.

Atau bisa juga digunakan di server Server.UrlEncodeatau HttpUtility.HtmlEncode.

Question 8

Tidak melihat ini di sini

System.Web.HttpUtility.JavaScriptStringEncode("Hello, this is Satan's Site")

itu adalah satu-satunya hal yang berhasil (asp 4.0+) ketika berhadapan dengan html seperti ini. Itu 'akan dirender sebagai '(menggunakan htmldecode) di html, menyebabkannya gagal:

<a href="article.aspx?id=268" onclick="tabs.open('modules/xxx/id/268', 'It&apos;s Allstars'); return false;">It's Allstars</a>

Question 9

ada beberapa karakter tanda kutip khusus yang tidak dihapus oleh HtmlEncode dan tidak akan ditampilkan di Edge atau IE dengan benar seperti "dan". Anda dapat mengganti karakter ini dengan fungsi seperti di bawah ini.

private string RemoveJunkChars(string input)
{
    return HttpUtility.HtmlEncode(input.Replace("”", "\"").Replace("“", "\""));
}

Question 10

Bagi mereka di masa depan yang mencari cara sederhana untuk melakukan ini di halaman Razor, gunakan yang berikut ini:

Dalam .cshtml:

@Html.Raw(Html.Encode("<span>blah<span>"))

Dalam .cshtml.cs:

string rawHtml = Html.Raw(Html.Encode("<span>blah<span>"));

Answer 1

Bagaimana cara meloloskan teks untuk penggunaan html di C #? aku ingin melakukan

sample="<span>blah<span>"

dan memiliki

<span>blah<span>

muncul sebagai teks biasa, bukan bla hanya dengan tag bagian dari html :(. Menggunakan C # bukan ASP

Answer 2

185

using System.Web;

var encoded = HttpUtility.HtmlEncode(unencoded);

Michael S. Scherotter
sumber

3

Jika Anda juga ingin menyandikan karakter unicode ke non-unicode, lihat ini: stackoverflow.com/questions/82008/…

Gyuri

4

Sesuatu yang tidak ingin Anda ketahui dengan cara yang buruk: Metode di atas dengan sendirinya tidak luput dari karakter kontrol. Lihat jawaban yang diterima di sini: stackoverflow.com/a/4501246/1543677 dan gunakan keduanya.

pkExec

HttpUtility tidak ada lagi (aplikasi win store)

Tertium

Answer 3

3

Jika Anda juga ingin menyandikan karakter unicode ke non-unicode, lihat ini: stackoverflow.com/questions/82008/…

Gyuri

Answer 4

4

Sesuatu yang tidak ingin Anda ketahui dengan cara yang buruk: Metode di atas dengan sendirinya tidak luput dari karakter kontrol. Lihat jawaban yang diterima di sini: stackoverflow.com/a/4501246/1543677 dan gunakan keduanya.

pkExec

Answer 5

HttpUtility tidak ada lagi (aplikasi win store)

Tertium

Answer 6

84

Juga, Anda dapat menggunakan ini jika Anda tidak ingin menggunakan System.Webrakitan:

var encoded = System.Security.SecurityElement.Escape(unencoded)

Berdasarkan artikel ini , perbedaan antara System.Security.SecurityElement.Escape()dan System.Web.HttpUtility.HtmlEncode()adalah bahwa yang pertama juga menyandikan (')karakter apostrof .

Tereza Tomcova
sumber

7

Bukan untuk mengatakan SecurityElement.Escape()escapes untuk XML yang tidak persis HTML.

Victor Sergienko

System.Security.SecurityElement tidak ada di aplikasi windows store

Tertium

Answer 7

7

Bukan untuk mengatakan SecurityElement.Escape()escapes untuk XML yang tidak persis HTML.

Victor Sergienko

Answer 8

System.Security.SecurityElement tidak ada di aplikasi windows store

Tertium

Answer 9

49

Jika Anda menggunakan .NET 4 atau lebih tinggi dan Anda tidak ingin referensi System.Web, Anda dapat menggunakan WebUtility.HtmlEncodedariSystem

var encoded = WebUtility.HtmlEncode(unencoded);

Ini memiliki efek yang sama HttpUtility.HtmlEncodedan lebih disukai daripada System.Security.SecurityElement.Escape.

Alex
sumber

Mengapa ini lebih disukai daripada SecurityElement.Escape? Apakah ada kerentanan pada yang terakhir, atau apakah yang pertama lebih mampu?

Travis

7

@Travis Tidak ada kerentanan di keduanya, hanya saja SecurityElement.Escapeberoperasi pada XML dan HtmlEncodeberoperasi pada HTML, dan pengkodean XML dan HTML memiliki persyaratan yang sedikit berbeda (lihat jawaban ini untuk detailnya). Jadi, misalnya SecurityElement.Escapediperbolehkan menggunakan ', sedangkan HtmlEncodetidak.

Alex

1

@Travis Saya pikir "alasan" yang lebih baik adalah bahwa System.Net tersedia untuk Perpustakaan Kelas Portabel dan dua opsi lainnya tidak / sepertinya tidak tersedia pagi ini. ; ^)

ruffin

Answer 10

Mengapa ini lebih disukai daripada SecurityElement.Escape? Apakah ada kerentanan pada yang terakhir, atau apakah yang pertama lebih mampu?

Travis

Answer 11

7

@Travis Tidak ada kerentanan di keduanya, hanya saja SecurityElement.Escapeberoperasi pada XML dan HtmlEncodeberoperasi pada HTML, dan pengkodean XML dan HTML memiliki persyaratan yang sedikit berbeda (lihat jawaban ini untuk detailnya). Jadi, misalnya SecurityElement.Escapediperbolehkan menggunakan ', sedangkan HtmlEncodetidak.

Alex

Answer 12

1

@Travis Saya pikir "alasan" yang lebih baik adalah bahwa System.Net tersedia untuk Perpustakaan Kelas Portabel dan dua opsi lainnya tidak / sepertinya tidak tersedia pagi ini. ; ^)

ruffin

Answer 13

19

belum ada yang menyebutkan, di ASP.NET 4.0 ada sintaks baru untuk melakukan ini. dari pada

<%= HttpUtility.HtmlEncode(unencoded) %>

Anda bisa melakukannya

<%: unencoded %>

baca lebih lanjut di sini: http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and- asp-net-mvc-2.aspx

Nacht
sumber

1

tolong beri sintaks untuk Razor? @Nacht

Answer 14

1

tolong beri sintaks untuk Razor? @Nacht

Answer 15

6

.NET 4.0 dan yang lebih baru:

using System.Web.Security.AntiXss;
//...
var encoded = AntiXssEncoder.HtmlEncode("input", useNamedEntities: true);

Pemenang
sumber

Answer 16

5

Anda dapat menggunakan tag html yang sebenarnya <xmp>dan </xmp>menampilkan string sebagaimana untuk menampilkan semua tag di antara tag xmp.

Atau bisa juga digunakan di server Server.UrlEncodeatau HttpUtility.HtmlEncode.

Andrew Siemer
sumber

Saya membuat pertanyaan itu lebih jelas. Saya tidak ingin tag menjadi bagian dari html seperti yang dapat dilakukan pengguna </pre> dan merusaknya.

Posting yang bagus, terima kasih, ini memperbaiki apa yang saya cari!

Spesialis

1

<xmp>sudah lama tidak digunakan lagi: stackoverflow.com/questions/8307846/… gunakan <pre>sebagai gantinya

mortb

Answer 17

Saya membuat pertanyaan itu lebih jelas. Saya tidak ingin tag menjadi bagian dari html seperti yang dapat dilakukan pengguna </pre> dan merusaknya.

Answer 18

Posting yang bagus, terima kasih, ini memperbaiki apa yang saya cari!

Spesialis

Answer 19

1

<xmp>sudah lama tidak digunakan lagi: stackoverflow.com/questions/8307846/… gunakan <pre>sebagai gantinya

mortb

Answer 20

Tidak melihat ini di sini

System.Web.HttpUtility.JavaScriptStringEncode("Hello, this is Satan's Site")

itu adalah satu-satunya hal yang berhasil (asp 4.0+) ketika berhadapan dengan html seperti ini. Itu 'akan dirender sebagai '(menggunakan htmldecode) di html, menyebabkannya gagal:

<a href="article.aspx?id=268" onclick="tabs.open('modules/xxx/id/268', 'It&apos;s Allstars'); return false;">It's Allstars</a>

Answer 21

1

ada beberapa karakter tanda kutip khusus yang tidak dihapus oleh HtmlEncode dan tidak akan ditampilkan di Edge atau IE dengan benar seperti "dan". Anda dapat mengganti karakter ini dengan fungsi seperti di bawah ini.

private string RemoveJunkChars(string input)
{
    return HttpUtility.HtmlEncode(input.Replace("”", "\"").Replace("“", "\""));
}

Iman
sumber

Anda mungkin menyajikan konten menggunakan pengkodean yang salah. IE dan Edge tidak memiliki masalah dalam menampilkan karakter seperti itu.

Bouke

Answer 22

Anda mungkin menyajikan konten menggunakan pengkodean yang salah. IE dan Edge tidak memiliki masalah dalam menampilkan karakter seperti itu.

Bouke

Answer 23

Bagi mereka di masa depan yang mencari cara sederhana untuk melakukan ini di halaman Razor, gunakan yang berikut ini:

Dalam .cshtml:

@Html.Raw(Html.Encode("<span>blah<span>"))

Dalam .cshtml.cs:

string rawHtml = Html.Raw(Html.Encode("<span>blah<span>"));

Escape teks untuk HTML

Jawaban: