在 <![CDATA[ 块中处理“<![CDATA[”的首选方式是什么？

Question

<![CDATA[ 和 ]]> 不允许在 <![CDATA[ … ]]> 块内。这是可以理解的。

现在，我必须在 <![CDATA[ … ]]> 块内传输用户输入的数据。恶意用户可能会输入<![CDATA[ 或]]> 或两者。

问题是：处理这种情况的首选方法是什么？

• 剥离<![CDATA[和]]>?
• 用空格替换它？
• 向用户发送错误消息？
• 或者有官方的实际传输方式吗？

Answer 1

我认为您以错误的方式考虑 CDATA 部分 - CDATA 代表“字符数据”，而 CDATA 语法只是不应被解释为标记的数据块的语法。 CDATA 部分对于将 xml 文档嵌入到另一个 xml 文档中很有用，但是当在文档中包含字符数据（即文本）时，如果它包含在 CDATA 部分中而不是简单地编码为文本数据，则不应改变数据的含义（可能转义了某些字符）。

简而言之，您的应用程序不应该关心数据是否编码为 CDATA。如果您正在编码的文本使用类似 xml 的语法并不太繁重，那么您最好直接转义 & 和 < 字符 - 您的 XML API 可能无论如何都会为您做这件事。例如 XmlNode 的 InnerText 属性将根据需要转义字符。

如果你仍然想使用 CDATA 标签（转义一个大的 xml 片段可能会过度膨胀结果文档的大小）那么你只需要转义代码 CDATA 语法片段（]]>），例如可以这样做只需将]]> 替换为]]]]><![CDATA[>。

Answer 2

当您必须包含该字符串时，使用字符引用而不是 CDATA。

Answer 3

从技术上讲，CDATA 部分可以包含另一个起始标记——<![CDATA[——它只是被解释为字符数据。它不能包含的是]]>。通常的方法是在编码时将 CDATA 拆分为用户提供的数据中的]]>。来自Wikipedia：

CDATA 节不能包含字符串“]]>”，因此 CDATA 节不可能包含嵌套的 CDATA 节。使用 CDATA 节对包含三元组“]]>”的文本进行编码的首选方法是使用多个 CDATA 节，方法是在“>”之前拆分每个出现的三元组。例如，要编码“]]>”，可以这样写：

<![CDATA[]]]]><![CDATA[>]]>

这意味着要在 CDATA 部分的中间编码“]]>”，请将所有出现的“]]>”替换为以下内容：

]]]]><![CDATA[>

这有效地停止并重新启动 CDATA 部分。

[结束维基百科引述]

看看这是在做什么？实际上，您最终得到的是：

<![CDATA[ ]] ]]> 
<![CDATA[ > ]]> 

（为强调而添加了空格。）因此，您将 ]]> 编码为 ]] 旁边的 > ——当您的 XML 处理器在解码过程中将它们重新组合在一起时，您最终会得到]]> 作为字符数据，但 ]]> 从未真正出现在您的 CDATA 部分中。

但是，在这个时代，您应该没有任何需要担心这一点。无论您使用什么工具/库来创建 XML，都应该为您简单地管理它，如果您将字符数据放入 XML 的元素中，则应该以 XML 库认为合适的方式自动完成到字符数据的转换，所有必要的转义，无需您考虑。

关注恶意用户数据是件好事，但在这种情况下处理它的最佳方法是正确使用已经有人为您关注的成熟库。

Answer 4

在 CDATA 部分中，将所有 ]]> 替换为 ]]]]><![CDATA[>