Texto de escape para HTML

136

¿Cómo escapo el texto para el uso de HTML en C #? quiero hacer

sample="<span>blah<span>"

y tiene

<span>blah<span>

aparecer como texto sin formato en lugar de bla solo con las etiquetas que forman parte del html :(. Usar C # no ASP

c# html escaping
fuente

185

using System.Web;

var encoded = HttpUtility.HtmlEncode(unencoded);

Michael S. Scherotter
fuente

3

Si también desea codificar caracteres unicode a no unicode, consulte esto: stackoverflow.com/questions/82008/…

Gyuri

44

Algo que no desea descubrir de la mala manera: el método anterior por sí solo no escapa a los caracteres de control. Vea la respuesta aceptada aquí: stackoverflow.com/a/4501246/1543677 y use ambas.

pkExec

HttpUtility ya no existe (ganar aplicaciones de la tienda)

Tertium

82

Además, puede usar esto si no desea usar el System.Webensamblaje:

var encoded = System.Security.SecurityElement.Escape(unencoded)

Según este artículo , la diferencia entre System.Security.SecurityElement.Escape()y System.Web.HttpUtility.HtmlEncode()es que el primero también codifica (')caracteres de apóstrofe .

Tereza Tomcova
fuente

77

No quiere decir SecurityElement.Escape()escapes para XML que no es exactamente HTML.

Victor Sergienko

System.Security.SecurityElement no existe en las aplicaciones de la tienda de Windows

Tertium

47

Si está utilizando .NET 4 o superior y no desea hacer referencia System.Web, puede usar WebUtility.HtmlEncodedesdeSystem

var encoded = WebUtility.HtmlEncode(unencoded);

Esto tiene el mismo efecto que HttpUtility.HtmlEncodey debería preferirse sobre System.Security.SecurityElement.Escape.

Alex
fuente

¿Por qué debería preferirse a SecurityElement.Escape? ¿Hay vulnerabilidades en este último, o el primero es más capaz?

Travis

77

@Travis No hay vulnerabilidades en ninguno de los dos, es solo que SecurityElement.Escapeopera en XML y HtmlEncodeopera en HTML, y la codificación XML y HTML tiene requisitos ligeramente diferentes (vea esta respuesta para más detalles). Entonces, por ejemplo, SecurityElement.Escapeestá permitido usar ', mientras HtmlEncodeque no.

Alex

1

@Travis Creo que la "excusa" aún mejor es que System.Net está disponible para las bibliotecas de clases portátiles y las otras dos opciones no están / no parecen estar esta mañana. ; ^)

ruffin

19

nadie ha mencionado aún, en ASP.NET 4.0 hay una nueva sintaxis para hacer esto. en vez de

<%= HttpUtility.HtmlEncode(unencoded) %>

simplemente puedes hacer

<%: unencoded %>

Lea más aquí: http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and- asp-net-mvc-2.aspx

Nacht
fuente

1

por favor da una sintaxis para Razor? @Nacht

6

.NET 4.0 y superior:

using System.Web.Security.AntiXss;
//...
var encoded = AntiXssEncoder.HtmlEncode("input", useNamedEntities: true);

Víctor
fuente

5

Puede usar etiquetas html reales <xmp>y </xmp>generar la cadena como se muestra para mostrar todas las etiquetas entre las etiquetas xmp.

O también puede usar en el servidor Server.UrlEncodeo HttpUtility.HtmlEncode.

Andrew Siemer
fuente

Hice la pregunta más clara. No quiero que las etiquetas formen parte de html como el usuario puede hacer </pre> y romperlo.

Gran mensaje gracias hombre, esto solucionó exactamente lo que estaba buscando.

Pasa

1

<xmp>ha quedado en desuso hace mucho tiempo: stackoverflow.com/questions/8307846/… use <pre>en su lugar

mortb

1

No vi esto aquí

System.Web.HttpUtility.JavaScriptStringEncode("Hello, this is Satan's Site")

fue lo único que funcionó (asp 4.0+) al tratar con html como este. El 'se procesa como '(usando htmldecode) en el html, lo que hace que falle:

<a href="article.aspx?id=268" onclick="tabs.open('modules/xxx/id/268', 'It&apos;s Allstars'); return false;">It's Allstars</a>

Contra
fuente

1

hay algunos caracteres de comillas especiales que HtmlEncode no elimina y no se mostrarán en Edge o IE correctamente como "y". puede reemplazar estos caracteres con algo como la siguiente función.

private string RemoveJunkChars(string input)
{
    return HttpUtility.HtmlEncode(input.Replace("”", "\"").Replace("“", "\""));
}

Iman
fuente

Probablemente esté sirviendo contenido usando la codificación incorrecta. IE y Edge no tienen problemas para mostrar dichos caracteres.

Bouke

0

Para aquellos en el futuro que buscan una manera simple de hacer esto en las páginas de Razor, use lo siguiente:

En .cshtml:

@Html.Raw(Html.Encode("<span>blah<span>"))

En .cshtml.cs:

string rawHtml = Html.Raw(Html.Encode("<span>blah<span>"));

fordrof
fuente

Texto de escape para HTML

Respuestas: