как избежать сущностей XML в JavaScript?

Question

В JavaScript (nodejs на стороне сервера) я пишу программу, которая генерирует xml в качестве вывода.

Я строю xml путем объединения строки:

str += '<' + key + '>';
str += value;
str += '</' + key + '>';

Проблема в том, что: Что делать, если value содержит символы типа '&', '>' или '<'?Какой лучший способ избежать этих символов?

или есть какая-нибудь библиотека javascript, вокруг которой можно избежать сущностей XML?

Answer 1

Кодировка

HTML просто заменяет символы &, ", ', < и > их эквивалентами сущностей. Порядок имеет значение, если вы сначала не замените символы &, вы дважды закодируете некоторые объекты:

if (!String.prototype.encodeHTML) {
  String.prototype.encodeHTML = function () {
    return this.replace(/&/g, '&')
               .replace(/</g, '&lt;')
               .replace(/>/g, '&gt;')
               .replace(/"/g, '&quot;')
               .replace(/'/g, '&apos;');
  };
}

_{As @Johan B.W. де Врис указал, что это будет иметь проблемы с именами тегов, я хотел бы уточнить, что я сделал предположение, что это используется только для value}

И наоборот, если вы хотите декодировать HTML-сущности ¹ , убедитесь, что вы декодируете от & до & после всего остального, чтобы не дублировать никакие сущности:

if (!String.prototype.decodeHTML) {
  String.prototype.decodeHTML = function () {
    return this.replace(/'/g, "'")
               .replace(/"/g, '"')
               .replace(/>/g, '>')
               .replace(/&lt;/g, '<')
               .replace(/&amp;/g, '&');
  };
}

_{1 только основы, не включая © до © или другие подобные вещи}

---

Что касается библиотек. Underscore.js (или Lodash , если вы предпочитаете) предоставляет метод _.escape для выполнения этой функции.

Answer 2

Это может быть немного более эффективно с тем же результатом:

function escapeXml(unsafe) {
    return unsafe.replace(/[<>&'"]/g, function (c) {
        switch (c) {
            case '<': return '&lt;';
            case '>': return '&gt;';
            case '&': return '&amp;';
            case '\'': return '&apos;';
            case '"': return '&quot;';
        }
    });
}

Answer 3

Если у вас есть jQuery, вот простое решение:

  String.prototype.htmlEscape = function() {
    return $('<div/>').text(this.toString()).html();
  };

Используйте его так:

"<foo&bar>".htmlEscape(); -> "<foo&bar&gt"

Answer 4

вы можете использовать метод ниже.Я добавил это в прототип для облегчения доступа.Я также использовал отрицательный прогноз, чтобы не мешать, если вы вызываете этот метод дважды или более.в XML-парсере.

Метод:

//String Extenstion to format string for xml content.
//Replces xml escape chracters to their equivalent html notation.
String.prototype.EncodeXMLEscapeChars = function () {
    var OutPut = this;
    if ($.trim(OutPut) != "") {
        OutPut = OutPut.replace(/</g, "&lt;").replace(/>/g, "&gt;").replace(/"/g, "&quot;").replace(/'/g, "&#39;");
        OutPut = OutPut.replace(/&(?!(amp;)|(lt;)|(gt;)|(quot;)|(#39;)|(apos;))/g, "&amp;");
        OutPut = OutPut.replace(/([^\\])((\\\\)*)\\(?![\\/{])/g, "$1\\\\$2");  //replaces odd backslash(\\) with even.
    }
    else {
        OutPut = "";
    }
    return OutPut;
};

Answer 5

может быть, вы можете попробовать это,

function encodeXML(s) {
  const dom = document.createElement('div')
  dom.textContent = s
  return dom.innerHTML
}

ссылка

Answer 6

Первоначально я использовал принятый ответ в рабочем коде и обнаружил, что при интенсивном использовании он действительно очень медленный.Вот намного более быстрое решение (работает с удвоенной скоростью):

   var escapeXml = (function() {
        var doc = document.implementation.createDocument("", "", null)
        var el = doc.createElement("temp");
        el.textContent = "temp";
        el = el.firstChild;
        var ser =  new XMLSerializer();
        return function(text) {
            el.nodeValue = text;
            return ser.serializeToString(el);
        };
    })();

console.log(escapeXml("<>&")); //&lt;&gt;&amp;

Answer 7

Это просто:

sText = ("" + sText).split("<").join("&lt;").split(">").join("&gt;").split('"').join("&#34;").split("'").join("&#39;");

Answer 8

Технически, &, <и> не являются допустимыми символами имени объекта XML. Если вы не можете доверять ключевой переменной, вы должны отфильтровать их.

Если вы хотите, чтобы их экранировали как объекты HTML, вы можете использовать что-то вроде http://www.strictly -software.com / htmlencode .