如何转义/清理包含HTML的QString?
即 showInBroswser(escaped(str)) == showInNotepad(str);
我正在使用JSF 1.2
我正在尝试使用打印文本 <h:outputtext>
<h:outputText id="warningDose" styleClass="redText" value="#{templatePrescriptionMaintenanceBackingBean.doseWarningText}"></h:outputText>
现在这个变量包含带有html标签的文本.<b>,<i>等...
但它显示内容,而不是实际的粗体或斜体html输出.
我们有什么方法可以做到这一点<h:outputText>,它给出了html响应?
我试图在我的视图中看到我的变量编码出了什么问题.所以我启动了rails控制台并试着这样做
$ rails console
Loading development environment (Rails 3.2.11)
irb(main):001:0> html_escape({:a=>1, :b=>"my str"})
NoMethodError: undefined method `html_escape' for main:Object
如何在rails控制台中使用h或html_escape?
我一直在寻找通过Underscore.js API和我注意到_.escape逃脱&,<,>,",',和/字符.让我感到惊讶的是逃避/.
是否有理由逃避/我不知道的角色?
Android有两种不同的方法来转义/编码Strings中的HTML字符/实体:
Html.escapeHtml(String),在API 16(Android 4.1)中添加.文档说:
返回给定纯文本的HTML转义表示形式.
TextUtils.htmlEncode(String) 对于这个,文档说:
Html编码字符串.
阅读文档,他们似乎都做了几乎相同的事情,但是,在测试它们时,我得到一些非常神秘(对我而言)的输出.
例如.随着输入:<p>This is a quote ". This is a euro symbol: €. <b>This is some bold text</b></p>
Html.escapeHtml 得到:
<p>This is a quote ". This is a euro symbol: €. <b>This is some bold text</b></p>
而TextUtils.htmlEncode给出:
<p>This is a quote ". This is a euro symbol: €. <b>This is some bold text</b></p>
所以似乎第二个转义/编码引号("),但第一个没有,虽然第一个编码欧元符号,但第二个没有.我很困惑.
那么这两种方法有什么区别呢?每个转义/编码的字符是什么?编码和转义之间的区别是什么?我什么时候应该使用其中一种(或者我应该喘气,一起使用它们?)?
android html-encode html-entities android-webview html-escape
感觉就像html_safe在String类中添加一个抽象,需要了解正在发生的事情,例如,
<%= '1 <b>2</b>' %> # gives 1 <b>2</b> in the HTML source code
<%= h '1 <b>2</b>' %> # exactly the same as above
<%= '1 <b>2</b>'.html_safe %> # 1 <b>2</b> in HTML source code
<%= h '1 <b>2</b>'.html_safe %> # exactly the same as above
<%= h (h '1 <b>2</b>') %> # 1 <b>2</b> wont' escape twice
对于第4行,如果我们说,好的,我们相信字符串 - 它是安全的,但为什么我们不能逃脱呢?似乎要逃避它h,字符串必须是不安全的.
所以在第1行,如果字符串没有被转义h,它将自动转义.在第5行,h无法将字符串两次转义 - 换句话说,在<更改为之后<,它再也无法逃脱它&lt;.
那么发生了什么?起初,我认为 …
我正在使用带有Primefaces的JSF,我想使用只有图像的radiobutton按钮组,但我不能使它工作.
这是代码:
<p:selectOneButton value="#{LoginBean.user}" >
<f:selectItem itemLabel="<img src="/myApp/faces/javax.faces.resource/myImg1.png?ln=img"/>" itemValue="1"/>
<f:selectItem itemLabel="<img src="/myApp/faces/javax.faces.resource/myImg2.png?ln=img"/>" itemValue="2"/>
</p:selectOneButton>
我尝试使用"escape","escapeItem"甚至"itemEscaped"属性转义字符.我读到了另一个问题中的最后一个.该问题的解决方案<h:selectOneRadio>不是使用<p:selectOneButton>.
注意:我知道它使用jQueryUI buttonset()方法(Primefaces在后台使用它),所以它不是脚本问题..
那么,这样做是否可行<p:selectOneButton>?
谢谢!
我在 rails 项目的一个视图中有一些简单的 erb 代码。
<%= comment.body %>
我希望保留 comment.body 中的 html 标签,因为它们具有格式信息。我已经验证文本正确保存在数据库中
<b>hello</b>
然而,事实证明页面上<b>hello</b>并不像我期望的那样打招呼。
这怎么可能?我不是<%= h用来转义 html 代码的。
如何让它不逃跑?我正在使用 rails 3。这有关系吗?
我需要一个输出文本,该文本的工作方式类似于具有escape =“ false”属性的h:outputText,但不允许脚本运行。稍作搜索后,我发现tr:outputFormatted可以做到这一点,但是在我们的项目中,我们不使用特立尼达。在战斧或另一个taglib中是否有类似outputFormatted的东西?
例如,
<h:outputText id="id" value="<b>test text</b><script type="text/javascipt">alert('I dont want these alert to show');</script>" escape="false"/>
会以粗体显示“测试文本”,但也会弹出警报对话框,我不希望脚本运行。它可以编写脚本代码或将其删除,但不应运行。
html-escape ×9
jsf ×3
android ×1
c++ ×1
erb ×1
html ×1
html-encode ×1
html-safe ×1
image ×1
primefaces ×1
qt ×1
taglib ×1
xss ×1