在Clojure/Compojure中对用户输入进行转义/清理

hiccup.util/escape-html在hiccup库中实现，该函数曾经存在于Compojure自身中（因为Hiccup的所有功能曾经是Compojure的一部分）。不过这是一个足够简单的函数，你完全可以自己编写。

(defn escape-html
  "Change special characters into HTML character entities."
  [text]
  (.. #^String (as-str text)
    (replace "&" "&")
    (replace "<" "&lt;")
    (replace ">" "&gt;")
    (replace "\"" "&quot;")))

还有一个 clojure.contrib.string/escape 函数，它接受一个 char -> string 转义序列的映射和一个字符串，然后为您进行转义。

user> (clojure.contrib.string/escape {\< "&lt;" \> "&gt;"} "<div>foo</div>")
"&lt;div&gt;foo&lt;/div&gt;"

我觉得这个方法可能不如它本应该的有用，因为你可能想要转义多个字符的序列，而这个方法做不到。但如果你只需要对HTML进行转义，这个方法或许能够满足你的需求。

当然了，也有很多Java库可以实现这个功能。你可以使用Apache Commons中的StringEscapeUtils库。

(org.apache.commons.lang.StringEscapeUtils/escapeHtml4 some-string)

不过对于这个目的来说，这让我感觉有点过重。

更新：我知道这不仅仅是那些... ring.util.codec 是来自 ring-core 的一个函数集合，这里有一些���数的操作方式：

user> (require '[ring.util.codec :as c])
nil
user> (c/url-encode "<a>")
"%3Ca%3E"
user> (c/url-decode "<a>")
"<a>"

这些是对java.net.URLEncoder和java.net.URLDecoder的封装。同一命名空间提供了基于来自Apache Commons的类的Base64编码处理函数。

---

以下是原回答。

我不确定是否有公共函数可以做到这一点，但是Enlive有两个私有函数名为xml-str和attr-str可以实现此功能:

(defn- xml-str
 "Like clojure.core/str but escapes < > and &."
 [x]
  (-> x str (.replace "&" "&amp;") (.replace "<" "&lt;") (.replace ">" "&gt;")))

(attr-str会转义"。)
你可以使用@#'net.cgrand.enlive-html/xml-str来获取该函数（Clojure不倾向于将事物真正变成私有的...），或者将它复制到你自己的命名空间中。

原来Enlive在使用net.cgrand.enlive-html/content将文本放入HTML元素时，默认会进行HTML转义。

(sniptest "<p class=\"c\"></p>" [:.c] (content "<script></script>"))
"<p class=\"c\">&lt;script&gt;&lt;/script&gt;</p>"