稀里糊涂的转义

最新推荐文章于 2024-09-25 11:11:09 发布
原创 最新推荐文章于 2024-09-25 11:11:09 发布 · 464 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
cknow-ai 菜爷面馆

cknow-ai 关注

标签
#其他
分类 前端开发

一、前言

前段时间挖机ERP系统出现一个问题,表单录入客户名称是 L & Q International Trading Limited,然后页面展示变成 L & Q International Trading Limited,即字符 &变成了&。

二、为什么要转义

&amp;是&在HTML中的转义,那为什么要进行转义呢,因为在HTML中有些字符是预留的(注:每种语言都有预留关键字),比如在HTML中不能直接使用小于号(<)、大于号(>)等,因为浏览器会认为它们是HTML标签,如果希望正确显示预留字符,我们必须在HTML代码中使用对应的字符实体。

注:上面这段话不一定对,估计以前浏览器是存在这个问题,现在浏览器可能兼容性做得比较完善,我测试了一下是能够直接用 < 输出的,但空格是不行,你输入多个空格页面显示时会截取掉只留下一个空格。

&其实并不是HTHL标签中的关键字,但&gt;&lt;这些用到它,所以它也必须进行转义。

三、问题排查

1、确认&amp;是在前端还是后端造成的

开始是怀疑前端代码做了处理,直接用postman提交发现在后端接收到的数据也会变成了 &amp;这就排除掉前端的问题,前端Get提交的数据可能会做URLEncode,但要搞清楚URLEncode编码和HTML标签转义是两回事,POST过来JSON数据一般理论上是不会被改变。

结论:后端问题

2、确认后端哪个环节的问题

怀疑后端程序基础框架中有代码进行转义,直接创建一个最简单的SpringBoot项目(与工程版本一致),用postman提交含&的字符串,后端接收到的数据是正常的,这说明与SpringBoot框架不相关。

结论:后端拦截器问题。

3、后端拦截器代码跟踪

发现工程中引入了XssFilter,会对HTML标签转义,对脚本进行删除等。

这样被过转义后,存入数据库的就是  L &amp; Q International Trading Limited。

4、前端展示

Vue页面上使用双花括号 {{ }}、或Element-UI 的 el-table会将HTML(含转义后的实体)转换为纯文本进行输出。所以就造成了这个问题。

5、解决方案

如果明确了后端使用了XssFilter进行了过滤(会删除掉脚本),前端vue可以直接使用 v-html来显示 ,这样就不会有&amp;,但el-table中又该如何处理呢(好像只能和solt去处理了)?其实我看了代码,发现我们业务类中加了以下代码。

req.setName(StringEscapeUtils.unescapeHtml4(req.getName()));

这个是能保证页面上不再出现&amp;但这样做XssFilter的意义在哪里呢?

注:一般ERP这种ToB的项目需要内部账号登录才能使用,其实没有什么必要做XSS安全校验

点赞 点赞 0
评论 0
书签 书签 0
关于转义字符&
luo_yu_1106的博客
11-10 9285
1.情况是这样的,就是前段传的xml参数里存在’&amp;'这种特殊字符,所以前端需要转义后再传给后端,也就是&amp;转义&amp;后传给后端。 但是后端接收但这个参数时,会拼接url,就像下面这样的 http://www.xx.com/path/api?gender=M&amp;name=L&amp;G&amp;color=red… 这个URL最后会通过下面这两行代码返回 URI uri = RestUtils.buildURI(xx,xx,xx); return uri,roURL(); 关键就是
Oracle特殊字符转义&和'
独孤求梦
01-17 6930
我们在SQL*PLUS下执行 SQL show all命令时,可以发现一个参数:define & (hex 26),如下所示 concat . (hex 2e) copycommit 0 copytypecheck ON define & (hex 26) describe DEPTH 1 LINENUM OFF INDENT OFFecho OFF 1、& 转义 这个是
url中&转义&amp;的复原办法办法
热门推荐
Lisa_Miss的博客
06-05 3万+
用此 htmlspecialchars_decode函数能够解决问题,该函数 htmlspecialchars_decode — 将特殊的 HTML 实体转换回普通字符 说明string htmlspecialchars_decode ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 ] )此函数的作用
最简单的方法解决js含有&的链接参数转义&amp问题
循环编织时间年轮,递归叩问存在本质,谁能在硅基荒原上,种出思想的玫瑰……
10-04 6118
提出问题:在把含有&符号的URL存入js变量,在读出来的时候,&符号会被转义& 导致链接指向错误或者失效问题,看了很多网上的教程都比较麻烦,有的用参数替换,有的用正则匹配替换等,今天提供一个简单的防止js链接参数被转义的方法。原理:js首先执行了字符拼接程序,html还不能进行转码,所以最终呈现的效果就是&保留了原样,对于php也可以考虑一下这个方法。正确方法:使用字符拼接,就不会被转义
&符号(&amp; amp;)解码为正常
u011042325的博客
12-23 4561
在开发中碰到一个问题, HTML中将 字符串【SCF520 &amp; SCF520P】转为【SCF520 &amp;amp; SCF520P】,传输到PHP后台方法,在var_dump()打印中,输出的是【SCF520 &amp; SCF520P】,但是存储到数据库中时是【SCF520 &amp;amp; SCF520P】,这里是因为转义字符(常用转义字符如下图1),在PHP中需要使用 htmlentities() 函数把字符转换为 HTML 实体,才可以看出被转义的完整字符。 解决办法: 使用替
小猪稀里糊涂
weixin_30338481的博客
04-09 254
周末在家睡午觉,刚睡醒,孩子就嚷嚷着讲故事,妈妈使了一个眼色,说,:“爸爸讲吧,爸爸故事多。”,于是讲故事的重担就落在了我的身上。这几天一直在给孩子讲《小猪希里呼噜》小丫头也很爱听,于是我也自编了一个角色,小猪稀里糊涂,开始给孩子讲了起来。 《橙子》 小猪妈妈让稀里糊涂去市场买两个橙子回来,小猪骑上自行车就去买了。到了市场里面,稀里糊涂就忘记要买什么...
稀里糊涂地被评为博客之星的候选人了,那就麻烦大家帮忙投个票吧~
《程序员面试笔试宝典》
12-18 1546
稀里糊涂地被评为博客之星的候选人了,本来没打算弄,想想还是试试吧,那就麻烦大家帮忙投个票吧~投票地址:面试之道,谢谢各位了。
我终于明白了!!!!转义字符到底怎么运行的!!!
weixin_64807815的博客
01-14 267
Java中的转义字符是如何运行的,常用的转义字符
稀里糊涂
lingfengxue98的专栏
09-24 426
搞了几天的逆变电源的比赛内容,稀里糊涂的,也很累,终于快完事了 ,可以休息一下了
<script>中的&为什么需要转义
最新发布
2301_79698214的博客
09-25 1090
进行特别的转义(因为JavaScript主要关注的是逻辑和运算,而不直接涉及HTML解析),但在某些情况下,比如在构建HTML字符串或处理用户输入时,为了确保生成的HTML代码的正确性,仍然需要对特殊字符进行转义。特别是在将JavaScript用于操作或生成HTML内容时,正确的转义是必要的,以确保生成的HTML文档能够正确解析和显示。字符是为了避免在HTML解析时产生错误或意外的结果,确保字符按照预期的方式显示和处理。字符被正确地解析为字符本身,而不是作为HTML实体的开始标记。字符本身,我们需要使用。
关于地址传参,&转义&amp,汉字被转义为编码,导致参数读取不了的解决方案
聂雄超的博客
10-26 1万+
遇到问题; http://116.196.99.18:8080/Hanmote0106/SupplierManagement/SupplierUploadFile.jsp?supplierId="+supplierId+"&Mt_GroupName="+Mt_Names[i] 地址以邮件发送时,出现两个问题:1.&符被转义&amp;导致参数无法读取 2.汉字变为编码 %数字,读取参数时为
&nbsp|&quot|&amp|&lt|&gt等html字符转义
TGA麻辣香锅的博客
01-23 1万+
技术经验总结之——“&”符在XML中的转义
olifeo的专栏
03-06 3616
 1、“&”符在XML的转义action name="docadd"class="com.huawei.netforce.dcm.ui.DocAddAction" >result name="success" type="dispatcher">param name="location">docquery.jsp?zhanshi=cata&amp;parentid=${pare
一些转义字符和特殊符号
Electronic_zz的博客
12-17 3410
&gt;(大于)转义字段 &amp;gt; &lt;(小于)转义字段 &amp;It; &gt;=(大于等于)转义字段 &amp;gt;= &lt;=(小于等于)转义字段 &amp;It;= &amp;(和)转义字段 &amp;amp; '(单引号)转义字段 &amp;apos; "(双引号)转义字段 &amp;quot 转义字符\ \n 换行 \t 制表符 \' 单引号 \r 回车 $和#: ${} 解析传过来的参数值不带引号 #{}解析传过来的参数值带引号 ...
XML文件中“&“、“>“、“<“符号需要转义
键盘烫手的博客
01-30 9287
在XML文件中,jdbc的url中的‘&amp;’符号会报有红色错误,通常需要 转义&amp;amp;来使用 &lt;property name="url" value="jdbc:mysql://localhost:3306/mybatis?serverTimezone=UTC&amp;amp;useUnicode=true&amp;amp;characterEncoding=utf8&amp;amp;useSSl=false"/&gt; ...
URL特殊字符转义
weixin_30449453的博客
08-11 945
+ 转义符为 %2B 空格 转义符为 + 或 %20 / 转义符为 %2F ? 转义符为 %3F % 转义符为 %25 # 转义符为 %23 &amp; 转义符为 %26 = 转义符为 %3D 转载于:https://www.cnblogs.com/vofill/p/5761123.html...
html中常见的转义字符有哪些?
闫小样丶的博客
11-02 1406
在做项目的过程中,我们写html代码,有时候会遇到输入字与字之间的间隔,或者使用&gt;&gt;表示更多。如果我们直接输入空格按键或者在键盘上输入&gt;&gt;的字符,编辑器会自动报错。 这个时候,转移字符就有很大的用处了。我们把常用到的转义字符做一个记录,以便后续方便查看。 字符: " 转义字符: &amp;quot; 字符: &amp; ...
字符&转义字符&注释(C语言)
qq_58802755的博客
07-20 1917
一、字符串 由双引号起来的一串字符称为字符串。比如:"hello\n" 【注】: 1、字符串的结束标志是一个 \0 的转义字符。在计算字符串长度的时候 \0 是结束标志,不算作字符串内容。 #include int main() { char arr1[] = "new"; char arr2[] = {'n', 'e', 'w'}; char arr3[] = {'n', 'e', 'w', '\0'}; printf("%s\n", arr1); p...
常用正则表达式&amp;相应转义&amp;语法
QK的专栏
04-03 8370
博主注:虽然是js的正则表达式,但大部分语法对于C#也是通用的 只能输入数字:"^[0-9]*$"。只能输入n位的数字:"^/d{n}$"。只能输入至少n位的数字:"^/d{n,}$"。只能输入m~n位的数字:。"^/d{m,n}$"只能输入零和非零开头的数字:"^(0|[1-9][0-9]*)$"。只能输入有两位小数的正实数:"^[0-9]+(.[0-9]{2})?$"。只能输入有1~3
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值