阿江

为了防止潜在的脚本攻击，
我一般会将所有可能由访问者输入的文字在显示输出的时候进行一次htmlencode编码。
多年来一直这么做没感觉有什么不妥，
直到最近开始使用UTF-8编码时问题来了。

在GB编码时，汉字在ASP的server.htmlencode后还是汉字本身，
但使用UTF-8编码时，汉字会被server.htmlencode方法转义为编码，比如“阿江”就变成了“&#*****&#*****”。
这使源代码的可读性变得极差，尤其是对于大段文字来说。

现在想另写一个小函数，通过批量替换的方法，手工进行htmlencode转码，
目前仅想到需要替换的字符只有 < > & "
不知道有没有漏掉的。
或者谁指点下这样有没有什么隐患。

collbird

@logo设计专家

卧草泥马

空格也需要替换，还有换行符\n

cibsdu

看不太懂，

森林

ASP的不知道。
但在PHP，字串处理时用htmlspecialchars() 后，得到的值和你ASP的htmlencode是同样的结果，但在输出时，会有另一个函数 htmlspecialchars_decode() 得到原始值。

阿江

森林 发表于 2017-11-18 16:18
ASP的不知道。
但在PHP，字串处理时用htmlspecialchars() 后，得到的值和你ASP的htmlencode是同样的结果， ...

暂时不需要decode，用encode的目的是比如用户输入了
<script>
然后被我保存到了数据库里，但在我将来显示这个内容的时候实际输出到浏览器的是
&lt;script&gt;
这样就可以不用管用户输入什么都给显示出来了。
我现在只是不想让中文也一起被编码了。

阿江

卧草泥马 发表于 2017-11-18 16:06
空格也需要替换，还有换行符\n

感谢补充，
空格和换行确实是有对应的HTML写法，
不过ASP的server.htmlencode并不处理空格和换行，
我的应用场景目前也暂时不需要处理。

iawsky

阿江是个asp 专家

nanjim

没看懂你想要的是什么
我只知道利用正则表达式替换掉这些内容就够了

1. /// <summary>
   
2.         /// 去除文本中的html代码。
   
3.         /// </summary>
   
4.         public static string RemoveHtml(string inputString)
   
5.         {
   
6.             return System.Text.RegularExpressions.Regex.Replace(inputString, @"<[^>]+>", "");
   
7.         }

复制代码

nanjim

或者这样子的,您参考一下

1. public static string HtmlEncode(string str, bool encodeBlank = true)
   
2.         {
   
3.             if ((str == "") || (str == null))
   
4.                 return "";
   
5. 
   
6.             StringBuilder builder1 = new StringBuilder(str);
   
7. 
   
8.             builder1.Replace("&", "&amp;");
   
9.             builder1.Replace("<", "&lt;");
   
10.             builder1.Replace(">", "&gt;");
    
11.             builder1.Replace(""", "&quot;");
    
12.             builder1.Replace("'", "&#39;");
    
13.             builder1.Replace("\t", "&nbsp; &nbsp; ");
    
14. 
    
15.             if (encodeBlank)
    
16.                 builder1.Replace(" ", "&nbsp;");
    
17. 
    
18.             builder1.Replace("\r", "");
    
19.             builder1.Replace("\n\n", "<p><br/></p>");
    
20.             builder1.Replace("\n", "<br />");
    
21.             return builder1.ToString();
    
22.         }

复制代码