我有一些JavaScript代码,用它来与XML-RPC后端进行通信。 XML-RPC返回以下格式的字符串:
<img src='myimage.jpg'>
然而,当我使用 JavaScript 将字符串插入 HTML 时,它们会直接渲染为字符串。我看不到图像,我只看到字面的字符串:
<img src='myimage.jpg'>
我猜测HTML在XML-RPC通道上被转义了。
我该如何在JavaScript中取消转义字符串?我尝试了这个页面上的技术,但没有成功:http://paulschreiber.com/blog/2008/09/20/javascript-how-to-unescape-html-entities/
还有哪些方法可以诊断问题?
function decodeHTMLContent(htmlText) {
var txt = document.createElement("span");
txt.innerHTML = htmlText;
return txt.innerText;
}
var result = decodeHTMLContent('One & two & three');
console.log(result);textarea答案更好在哪里? - Dan Dascalescu<img>并运行任意JS,没有任何阻止措施。请勿在生产环境中(或者如果其他人会使用它的话,在业余项目中)使用此代码或类似代码。 - Radvylf Programsvar encodedStr = 'hello & world';
var parser = new DOMParser;
var dom = parser.parseFromString(
'<!doctype html><body>' + encodedStr,
'text/html');
var decodedString = dom.body.textContent;
console.log(decodedString);
当前得票最高的答案有一个缺点,即从字符串中删除HTML。如果这不是您想要的(当然也不是问题的一部分),那么我建议使用正则表达式查找HTML实体(/&[^;]*;/gmi),然后遍历匹配项并将它们转换。
function decodeHTMLEntities(str) {
if (typeof str !== 'string') {
return false;
}
var element = document.createElement('div');
return str.replace(/&[^;]*;/gmi, entity => {
entity = entity.replace(/</gm, '<');
element.innerHTML = entity;
return element.textContent;
});
}
var encoded_str = `<b>↑ CAN'T HACK ME, BRO</b>`;
var decoded_str = decodeHTMLEntities(encoded_str);
console.log(decoded_str);关于XSS攻击:
虽然innerHTML不会在<script>标签中执行代码,但是可能会在on*事件属性中运行代码,因此仅使用上述正则表达式可能会被用户传入以下字符串利用:
&<img src='asdfa' error='alert(`doin\' me a hack`)' />;
因此,在将任何<字符放入隐藏的div元素之前,有必要将它们转换为<。
另外,为了覆盖所有可能性,我要注意一下:在全局范围内定义的函数可以被控制台中重新定义的函数覆盖,因此重要的是要使用const定义此函数或将其放在非全局范围内。
注意:以下示例中尝试的漏洞会使堆栈片段编辑器混淆,因为它进行预处理,所以您需要在浏览器的控制台中运行它或在自己的文件中查看结果。
var tests = [
"here's a spade: ♠!",
"&<script>alert('hackerman')</script>;",
"&<img src='asdfa' error='alert(`doin\' me a hack`)' />;",
"<b>↑ CAN'T HACK ME, BRO</b>"
];
var decoded = tests.map(decodeHTMLEntities).join("\n");
console.log(decoded);
结果是:
here's a spade: ♠!
&<script>alert('hackerman')</script>;
&<img src='asdfa' error='alert(`doin' me a hack`)' />;
<b>↑ CAN'T HACK ME, BRO</b>
<SCRIPT是一种非常简单的修复尝试,它甚至不能抵御最基本的规避尝试,例如< SCRIPT,更不用说指定onerror或onload属性了。 - user229044<script>标签。当输入像<script这样的内容时,你的entity变量从未包含完整的字符串<script,它只包含<。即使正则表达式被修复以包括所有后续标记,你仍将比较"<SCRIPT和<SCRIPT。 - user229044decodeHTMLEntities('<script>'))时,它会生成<script>。检查单词“script”的目的是防止执行任何攻击,例如decodeHTMLEntities('&<script>alert('test')</script>;'),因为据我所知,没有包含单词“script”的html字符代码。 - I wrestled a bear once.innerHTML 时是有可能发生的,可以参考得票最高的答案中的 XSS 负载示例:document.createElement('div').innerHTML=(\<img src="asdf" onerror="alert('no')" />`)`。 - user229044请参见基准测试:https://jsperf.com/decode-html12345678/1
console.log(decodeEntities('test: >'));
function decodeEntities(str) {
// this prevents any overhead from creating the object each time
const el = decodeEntities.element || document.createElement('textarea')
// strip script/html tags
el.innerHTML = str
.replace(/<script[^>]*>([\S\s]*?)<\/script>/gmi, '')
.replace(/<\/?\w(?:[^"'>]|"[^"]*"|'[^']*')*>/gmi, '');
return el.value;
}.replace(...) 调用(如果您不需要脚本,则可以保留第一个)。decodeEntities("</textarea '><img src=x onerror=alert(1) \">") 。请停止尝试使用正则表达式来清洗 HTML 代码。 - Wladimir Palant
escape或URI编码字符串不同,因此这些函数无法使用。 - Marcel Korpel