Mustache.js: 모든 값을 이스케이프 해제

에 만든 2012년 08월 14일 · 14코멘트 · 출처: janl/mustache.js

html을 전혀 이스케이프하지 않는 옵션을 추가할 수 있습니까?

출처

ForbesLindesay

👍5

가장 유용한 댓글

나는 그것을 테스트하지 않았지만 매뉴얼 페이지에 따르면 :
All variables are HTML escaped by default. If you want to return unescaped HTML, use the triple mustache: {{{name}}}.
그래도 작동하지 않으면 단순히 입력을 이스케이프 처리하지 않고 반환하는 함수를 사용할 수 있습니다.

TiddoLangerak 에 2012년 08월 16일

👍18 🎉6

모든 14 댓글

TiddoLangerak 에 2012년 08월 16일

👍18 🎉6

예, 현재 동작이지만 이에 대한 제 사용 사례에는 매우 신뢰할 수 있는 입력과 많은 특수 문자가 있습니다.

ForbesLindesay 에 2012년 08월 16일

나는 이 부분을 언급하고 있었다.
If you want to return unescaped HTML, use the triple mustache: {{{name}}}.
따라서 변수를 이스케이프하지 않으려면 이중 콧수염 대신 삼중 콧수염을 사용해야 합니다.
편집: 나는 그것을 테스트했고 이것은 이 구현에서 올바르게 구현되었습니다.

TiddoLangerak 에 2012년 08월 16일

예, 기본 동작을 변경하는 유용한 바로 가기가 있는지 궁금합니다.

ForbesLindesay 에 2012년 08월 16일

👍1

일부 구현은 과거에 역 이스케이프 pragma를 지원했습니다(mustache.php v1.x, ruby v0.8ish). 이것은 본질적으로 {{ foo }} 와 {{{ foo }}} 의 의미를 바꿨습니다. ini 파일과 같은 비-html 사용에 유용합니다. 이 경우 html 엔터티를 이스케이프하는 것이 의미가 없고 추가 콧수염을 많이 절약할 수 있기 때문입니다.

Mustache.php v2.x는 이 pragma를 지원하지 않습니다. 대신 사용자가 대체 이스케이프 콜백을 전달할 수 있도록 사용자 지정 '이스케이프' 옵션을 선택했습니다. function($text) { return $text; } 전달하면 탈출이 금지됩니다.

bobthecow 에 2012년 08월 17일

👍1

흠, 제 유스 케이스에 딱 맞습니다. mustache.js에서 그렇게 할 수 있습니까? 그렇다면 해당 기능을 어디에 전달할 것입니까?

ForbesLindesay 에 2012년 08월 17일

맞습니다. OWASP 지침을 따르는 것은 괜찮지만 항상 탈출하는 것은 경우에 따라 유용하지 않습니다. 이 문제가 완료되기까지의 ETA가 있습니까?

broql 에 2012년 08월 18일

설치의 파서에서 {{{ 와 {{ 를 바꾸는 것이 더 쉽지 않을까요?

janl 에 2012년 08월 20일

현재 나는 그냥 실행 :

template.replace(/\{\{([^\}]*)\}\}/g, '{{{$1}}}');

실행하기 전에 모든 템플릿에서 작동합니다. 시스템이 더 많이 내장되어 있으면 좋을 것입니다. 나는 @bobthecow 의 제안을 아주 좋아합니다. 필요한 경우 다른 것을 피할 수 있기 때문입니다. 예를 들어 XML이 아닌 형식과 같은 JSON이 있는 경우 따옴표/쉼표/콜론 등을 이스케이프할 수 있습니다.

ForbesLindesay 에 2012년 08월 20일

@janl 두 가지 시나리오에서 동일한 템플릿을 렌더링

broql 에 2012년 08월 20일

👍1

@bobthecow 우리는 mustache.js에서 동일한 접근 방식을 쉽게 취하고 모든 이스케이프에 대해 Mustache.escapeHtml의 내보낸 버전을 사용할 수 있습니다. 이를 통해 사용자는 다음과 같은 작업을 수행할 수 있습니다.

Mustache.escapeHtml = function (text) { return text; }

유용할까요? 물론 후속 호출에서 이스케이프가 제대로 작동하도록 하려면 함수 값을 재설정하는 데 주의해야 하며 트리플 스택으로 이스케이프를 결정할 수 없습니다.

mjackson 에 2012년 08월 30일

👎1 👍1

:+1: 나는 그것을 파헤친다. 내가 말할 수 있는 한, 주요 사용 사례는 HTML이 아닌 문서이기 때문에 이스케이프를 완전히 비활성화하는 것입니다. 나는 이스케이프/noescape를 바꾸는 데 많이 사용하지 않는 것으로 보입니다(이 때문에 Mustache.php v2에서 구현하지도 않았습니다).

bobthecow 에 2012년 08월 31일

예, 그것은 확실히 내 사용 사례를 충족시킬 것이며 다른 사람들이 다음과 같이 사용하는 것을 상상할 수 있습니다.

Mustache.escapeHtml = function (text) { return text.replace(/\"/g, '\\"'; }

문자열을 이스케이프합니다. 또는 화이트리스트 기능을 구현할 수도 있습니다. 간단히 말해서 내가 생각할 수 있는 모든 사용 사례를 해결할 수 있습니다.

ForbesLindesay 에 2012년 08월 31일

나는 그것을 테스트하지 않았지만 매뉴얼 페이지에 따르면 :
All variables are HTML escaped by default. If you want to return unescaped HTML, use the triple mustache: {{{name}}}.
그래도 작동하지 않으면 단순히 입력을 이스케이프 처리하지 않고 반환하는 함수를 사용할 수 있습니다.

엄청 고마워!! 이것은 작동합니다.

NishadKumar 에 2019년 10월 25일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Mustache.js: 모든 값을 이스케이프 해제

가장 유용한 댓글

모든 14 댓글

관련 문제