HTML 中的字符串何时需要转义？

Question

在 HTML 的几乎每个标签中，<（开始标签）和&（字符转义）等字符都必须进行转义。

但是，在<script> 标签内，这似乎并不适用！我可以在 HTML 中明确定义字符，也可以使用 jQuery 检索它们，例如 var my_unescaped_text = $('script[type="text/mytexttype"]');

还有其他标签可以做到这一点吗？有没有什么方法可以让这种事情在<pre>标签中变得可见而不使用javascript？ （是的，我知道，这听起来绝对是一项艰巨的任务......）

<input> 或 <textarea> 标签呢？绝对可以将这些字符写在文本输入字段中，并且 是 可见且可样式化（这满足了我可能不清楚的目标）。还有别的事吗？我要显示的文本（前 javascript 处理）是 Markdown，<pre> 可能最适合它，尽管 <textarea readonly="readOnly"> 可能看起来与 <pre> 完全一样。

Answer 1

将任意文本嵌入 HTML 时必须始终转义。

然而，special rules 申请<script> 标签的内容，它们允许未转义的< 在某些条件下，即它不是</script> 的一部分.因此，"<" 在 JavaScript 中的正确编码是"\u003c"。

对于security reasons，您一开始就不应该使用内联JavaScript。请改用data- attributes。

Answer 2

转义规则取决于 HTML 版本：XHTML 有自己的规则。决定您将使用哪个版本的 HTML，并从优秀的教程和参考资料中学习其规则。

关于详细问题：

1. 本期中与script类似的另一个元素是style。还有一个非标准但得到良好支持的 xmp 元素，可用于将 HTML 标记原样呈现为内容。
2. 不，您不能更改规则，以便例外（适用时）适用于 pre。
3. input 和textarea 元素在这方面并不特殊。你可能被<input value="a<b"> 之类的测试误导了，它是有效的（XHTML 除外），因为< 不需要在属性值中转义。或者通过像 <input value="&"> 这样的测试，这是允许的（XHTML 除外），因为 & 后面没有名称字符。

要显示标记（包括 Markdown），推荐的方法是像往常一样在内容中转义每次出现的 < 和 &。您可以出于其他原因（例如格式或逻辑）使用 code 标记和/或 pre 标记，但它们不会影响 HTML 解析或需要转义。如前所述，还有xmp，类似于pre，但元素内的任何标记都不会被识别，将所有内容视为文本，除了结束标记</xmp>；但同事、老板或老师可能会因为你使用它而责骂你。