Wie html in Javascript unescape?

Question

ich mit einem Web-Service bin arbeiten, die mir geben werden Werte wie:

var text = "<<<&&&"; 

Und ich brauche diese drucken wie mit javascript „< < < & & &“ zu suchen.

Aber hier ist der Haken: Ich kann nicht innere HTML verwenden (ich sende diese Werte tatsächlich zu einer Prototyp-Bibliothek, die Textknoten erstellt, so dass es nicht meine rohe HTML-Zeichenfolge entblättert. Wenn die Bibliothek nicht bearbeiten wäre eine Option, wie würden Sie diesen hTML unescape?

ich brauche die eigentliche Behandlung hier undertand, was ist das Risiko von URL-Kodierung, diese Art von Strings? wie funktioniert innerHTML- nicht wahr? und welche anderen Möglichkeiten gibt es?

EDIT - Das Problem ist nicht über die Verwendung von Javascript normalen Escape/Unescape oder sogar jQuery/Prototyp-Implementierungen von ihnen, sondern über die Sicherheitsprobleme, die von uns kommen könnten Irgendwelche von diesem ... alias "Sie sagten mir, dass es ziemlich unsicher war, sie zu benutzen"

(Für diejenigen, die versuchen zu verstehen, was zum Teufel ich mit innerHTML diese seltsame Schnur unescaping, überprüfen Sie dieses einfache Beispiel:

<html> 
<head> 
<title>createTextNode example</title> 

<script type="text/javascript"> 

var text = "&lt;&lt;&lt;&amp;&amp;&amp;"; 
function addTextNode(){ 
    var newtext = document.createTextNode(text); 
    var para = document.getElementById("p1"); 
    para.appendChild(newtext); 
} 
function innerHTMLTest(){ 
    var para = document.getElementById("p1"); 
    para.innerHTML = text; 
} 
</script> 
</head> 

<body> 
<div style="border: 1px solid red"> 
<p id="p1">First line of paragraph.<br /></p> 
</div><br /> 

<button onclick="addTextNode();">add another textNode.</button> 
<button onclick="innerHTMLTest();">test innerHTML.</button> 

</body> 
</html> 

Answer 1

Ihren Test-String zu <b><<&&&</b> Ändern auf einen besseren Griff zu bekommen, was das Risiko ist ... (oder besser, <img src='http://www.spam.com/ASSETS/0EE75B480E5B450F807117E06219CDA6/spamReg.png' onload='alert(document.cookie);'> für Cookie-Diebstahl Spam)

Siehe Beispiel bei http://jsbin.com/uveme/139/ (basierend auf dem Beispiel mit Prototyp für die Unescaping.) Versuchen Sie, klicken Sie auf die vier verschiedenen Schaltflächen, um die verschiedenen Effekte zu sehen. Nur der letzte ist ein Sicherheitsrisiko. (Sie können sehen/bearbeiten, um die Quelle zu http://jsbin.com/uveme/139/edit) Das Beispiel eigentlich nicht stehlen Cookies ...

1. Wenn Ihr Text wird von einer bekannten sicheren Quelle kommt und sind nicht basierend auf einer Benutzereingabe, dann sind Sie sicher.
2. Wenn Sie createTextNode verwenden einen Textknoten und appendChild zu erstellen Objekt, das unverändert Knoten direkt in Ihr Dokument sicher Sie, einzufügen.
3. Andernfalls müssen Sie geeignete Maßnahmen ergreifen, um sicherzustellen, dass unsichere Inhalte nicht in den Browser Ihres Viewers gelangen können.

Hinweis: As pointed out by Ben VinegarcreateTextNode Verwendung ist keine magische Kugel: es mit der Zeichenfolge zu entkommen, dann textContent oder innerHTML mit aus dem entkam Text zu erhalten und mit ihm zu tun anderen Sachen nicht in Ihrem späteren Gebrauch schützen. Insbesondere ist die escapeHtml method in Peter Brown's answer below unsicher, wenn sie zum Ausfüllen von Attributen verwendet wird.

Answer 2

Try Flucht- und unescape Funktionen in Javascript

Weitere Details: http://www.w3schools.com/jsref/jsref_unescape.asp

Answer 3

Einige Vermutungen für das, was es wert ist.

innerHTML ist buchstäblich der Browser, der HTML interpretiert.

so < wird das weniger als Symbol, was passiert, wenn Sie < in das HTML-Dokument eingeben.

Das größte Sicherheitsrisiko von Zeichenfolgen mit & ist eine Eval-Anweisung, JSON könnte die Anwendung unsicher machen. Ich bin kein Sicherheitsexperte, aber wenn Strings Strings bleiben, sollten Sie in Ordnung sein.

Dies ist eine andere Möglichkeit, innerHTML ist sicher, die unescaped Zeichenfolge ist auf dem Weg, HTML zu werden, so dass es kein Risiko für die Ausführung des Javascript.

Answer 4

Solange Ihr Code Textknoten erstellt, sollte der Browser nichts schädlich machen. Wenn Sie die Quelle des generierten Textknotens mithilfe von Firebug oder der IE Dev Toolbar überprüfen, werden Sie feststellen, dass der Browser die Sonderzeichen zurückgibt.

geben eine

"<script>" 

und es wieder entkommt es an:

"<script>" 

Es gibt verschiedene Typen von Knoten: Elemente, Dokumente, Text, Attribute usw.

Die Gefahr besteht, wenn der Browser einen String als Skript interpretiert.Die Eigenschaft innerHTML ist anfällig für dieses Problem, da sie den Browser anweist, Element-Knoten zu erstellen, von denen einer ein Skriptelement sein kann, oder ein Inline-Javascript wie onmouseover-Handler hat. Das Erstellen von Textknoten umgeht dieses Problem.

Answer 5

function mailpage() 
{ mail_str = "mailto:?subject= Check out the " + escape(document.title); 
     mail_str += "&body=" + escape("I thought you might be interested in the " + document.title + ".\n\n"); 
     mail_str += escape("You can view it at " + location.href + ".\n\n"); 
     location.href = mail_str; 
} 

Answer 6

Eine sehr gute Lese ist http://benv.ca/2012/10/4/you-are-probably-misusing-DOM-text-methods/ was erklärt, warum eigentlich nicht die Konvention Weisheit createTextNode der Verwendung überhaupt sichern.

Ein repräsentatives Beispiel aus dem Artikel nehmen oberhalb des Risikos:

function escapeHtml(str) { 
    var div = document.createElement('div'); 
    div.appendChild(document.createTextNode(str)); 
    return div.innerHTML; 
}; 

var userWebsite = '" onmouseover="alert(\'derp\')" "'; 
var profileLink = '<a href="' + escapeHtml(userWebsite) + '">Bob</a>'; 
var div = document.getElementById('target'); 
div.innerHtml = profileLink; 
// <a href="" onmouseover="alert('derp')" "">Bob</a>