escapeHtml()
Escapa los caracteres especiales de HTML en una cadena.
import { escapeHtml } from "@unifast/core";Firma
function escapeHtml(str: string): stringParámetros
str
| Propiedad | Tipo | Por defecto | Descripción |
|---|---|---|---|
str | string | — | La cadena que contiene los caracteres a escapar |
Retorna
string — La cadena de entrada con &, <, > y " reemplazados por sus entidades HTML equivalentes.
Uso
import { escapeHtml } from "@unifast/core";
const safe = escapeHtml('<script>alert("xss")</script>');
console.log(safe);
// <script>alert("xss")</script>Ejemplos
Escape básico
import { escapeHtml } from "@unifast/core";
console.log(escapeHtml("Tom & Jerry"));
// Tom & Jerry
console.log(escapeHtml('class="main"'));
// class="main"
console.log(escapeHtml("1 < 2 > 0"));
// 1 < 2 > 0Escape de contenido generado por el usuario
import { escapeHtml } from "@unifast/core";
const userComment = '<img src=x onerror="alert(1)">';
const html = `<div class="comment"></div>`;
console.log(html);
// <div class="comment"><img src=x onerror="alert(1)"></div>Construcción de atributos HTML seguros
import { escapeHtml } from "@unifast/core";
const title = 'He said "hello" & waved';
const html = `<span title="">Hover me</span>`;
console.log(html);
// <span title="He said "hello" & waved">Hover me</span>Comportamiento
&se reemplaza por&<se reemplaza por<>se reemplaza por>"se reemplaza por"El resto de los caracteres se mantienen sin cambios