第3.10式. 過(guò)濾文本輸入
問(wèn)題
你想要渲染包含HTML標(biāo)記的數(shù)據(jù),并且希望該數(shù)據(jù)被瀏覽器當(dāng)作HTML標(biāo)記解釋和處理。
動(dòng)作要
很簡(jiǎn)單,可以使用:
<bean:write name="myForm" property="freeText" filtered="false"/>
在使用JSTL時(shí),你也可以使用未過(guò)濾的值:
<c:out value="${myForm.freeText}" escapeXml="false"/>
動(dòng)作變化
在你使用Struts bean:write標(biāo)簽來(lái)產(chǎn)生文本時(shí),默認(rèn)情況下任何對(duì)HTML處理敏感的字符都要被它們的對(duì)等實(shí)體代替。例如,大于號(hào)字符(>) 將被替代為>字符實(shí)體。這種特征稱為是響應(yīng)過(guò)濾( response filtering),默認(rèn)情況下是激活的。在大多數(shù)情況下,過(guò)濾正是希望的行為,因?yàn)槲唇?jīng)過(guò)濾的文本可能被瀏覽器誤解釋。Table 3-4 列出了被bean:write標(biāo)簽過(guò)濾的字符和它們的對(duì)應(yīng)實(shí)體。
Table 3-4. 被過(guò)濾的字符 |
|
字符名稱 |
字符值 |
替代實(shí)體 |
|
大于 |
< |
< |
|
小于 |
> |
> |
|
&符號(hào) |
& |
& |
|
雙引號(hào) |
" |
" |
|
反斜杠 |
\ |
' |
但是有時(shí)候,你希望被渲染的文本中包括HTML 標(biāo)簽。假設(shè)你有一個(gè)在線日志應(yīng)用,允許用戶輸入將要顯示在一個(gè)頁(yè)面中的文本。允許使用HTML 標(biāo)簽將使得用戶可以那些可以格式化文本的標(biāo)記。文本中可能包含超鏈接,不同的字體,以及圖像等等。在其他情形下,你的應(yīng)用可能可能還會(huì)從其他來(lái)源,比如另一個(gè)URL,一個(gè)XML文件,一個(gè)Web Service或者數(shù)據(jù)庫(kù)中,獲得HTML模板文本。
通過(guò)將bean:write標(biāo)簽的filtered屬性設(shè)置為false,你就可以告訴Struts標(biāo)簽不要使用相應(yīng)的實(shí)體替換 tag not to 特殊字符。首先,我們來(lái)看一下過(guò)濾是如何工作的。假設(shè)一個(gè)用戶在表單中輸入了下面的文本:
Apache
Struts Web Framework <b>rocks</b>!
現(xiàn)在這個(gè)文本將被bean:write標(biāo)簽來(lái)渲染顯示。當(dāng)filtered 屬性設(shè)施為true時(shí),特殊字符將被其對(duì)等物替換,這樣文本看起來(lái)就會(huì)是:
Apache
Struts Web Framework <b>rocks</b>!
這很有可能不是用戶所想要的。他想要的是"Apache Struts Web Framework rocks!"。但是,因?yàn)橐鈭D是想要允許用戶輸入裝飾文本的HTML標(biāo)簽,那么將filtered屬性設(shè)置為false 就會(huì)得到正確的渲染:
Apache
Struts Web Framework <b>rocks</b>!
瀏覽器將認(rèn)識(shí)這個(gè)標(biāo)簽,并且按其所愿正確的應(yīng)用HTML 標(biāo)記。
這在渲染一個(gè)Web頁(yè)面時(shí)式一個(gè)有用的機(jī)制。但是,在使用這個(gè)方法時(shí)必須足夠小心。如果數(shù)據(jù)是沒(méi)有過(guò)濾的,那么就可能會(huì)危及渲染后的 HTML頁(yè)面的布局,整個(gè)頁(yè)面可能會(huì)看起來(lái)遭到破壞。例如,假定下面的文本被輸入:
Apache
Struts Web Framework <b>rocks<b>!
咋看起來(lái),這沒(méi)什么問(wèn)題。但是,注意到b元素的后面一個(gè)關(guān)閉標(biāo)簽的斜杠缺失了。這個(gè)錯(cuò)誤很容易發(fā)生,而且這可能會(huì)使得頁(yè)面中后面的所有文本都是粗體。
不幸的是,要避免這類錯(cuò)誤是很困難的。最好還是試圖確保輸入的數(shù)據(jù)都是正確有效的HTML。還有個(gè)選擇就是通過(guò)XML 解析器來(lái)處理輸出。它會(huì)檢測(cè)諸如標(biāo)記不匹配之類的問(wèn)題。你還可以通過(guò)一些能夠試圖糾正問(wèn)題的解析器來(lái)完成,比如Jtidy。最后,如果數(shù)據(jù)是來(lái)自于非受控的來(lái)源,你可以選擇完全不允許HTML。如果你還想使用一些文本裝飾功能的話,還可以考慮使用WikiText 或者UBB Code之類的格式表示來(lái)替代。
相關(guān)動(dòng)作
JTidy 提供了一個(gè)命令行接口和Java API 來(lái)解析和整理HTML。關(guān)于JTidy 的細(xì)節(jié)請(qǐng)?jiān)L問(wèn)http://jtidy.sourceforge.net。
UBBCode 是PHP本身支持的一種標(biāo)記格式。也可以在Java中處理UBBCode。一個(gè)解析UBBCode 的PHP函數(shù),有人在Java中重寫(xiě)了,地址可見(jiàn):http://www.firegemsoftware.com/other/tutorials/ubb.php.