'&' Kelimesini '& amp;' olarak kodlamam gerekiyor mu?

&Sitemin HTML5 ve UTF-8 ile bir ' ' sembolü kullanıyorum <title>. Google, başlıklarındaki tüm tarayıcılarda olduğu gibi, SERP'lerde ve işareti iyi gösteriyor.

http://validator.w3.org bana bunu veriyor:

& karakter başvurusu başlatmadı. (& muhtemelen kaçmış olmalıydı &.)

Gerçekten yapmam gerekiyor &mu?

Sayfalarımın doğrulanması amacıyla doğrulanmasından endişe etmiyorum, ancak insanların bu konudaki fikirlerini ve bunun önemli olup olmadığını ve nedenini duymak isterim.

Evet. Hatanın dediği gibi, HTML'de öznitelikler #PCDATA, ayrıştırıldıkları anlamına gelir. Bu, niteliklerde karakter varlıklarını kullanabileceğiniz anlamına gelir. Tek &başına kullanmak yanlıştır ve yumuşak tarayıcılar için değilse ve bunun XHTML değil HTML olduğu gerçeği, ayrıştırmayı bozacaktır. Sadece kaçmak &ve her şey iyi olurdu.

HTML5, boş bırakmanıza izin vermez, ancak yalnızca aşağıdaki veriler geçerli bir karakter başvurusuna benzemediğinde. Ancak, bu sembolün tüm örneklerinden kaçmak, hangilerinin olması gerektiği ve hangilerinin olması gerekmediği konusunda endişelenmekten daha iyidir.

Bu noktayı aklınızda bulundurun; & amp; & amp; 'den kaçmıyorsanız, oluşturduğunuz veriler için yeterince kötüdür (kodun çok iyi olabileceği yerlerde), kullanıcı tarafından gönderilen veriler için büyük bir sorun olan etiket sınırlayıcılardan da kaçmıyor olabilirsiniz, bu da HTML ve kod enjeksiyonuna, çerez çalmaya ve diğer istismarlara yol açabilir.

Lütfen kodunuzdan kaçın. Gelecekte size çok fazla sorun kazandıracak.

Doğrulama bir yana, bir HTML belgesi için belirli karakterleri kodlamanın bir web sayfası olarak düzgün ve güvenli bir şekilde görüntülenebilmesi için önemli olduğu gerçeği kalmaktadır.

Her koşulda &olduğu gibi kodlama &, benim için, hata ve başarısızlık olasılığını azaltarak yaşamak daha kolay bir kuraldır.

Aşağıdakileri karşılaştırın: hangisi daha kolay? hangi kolaydır bozmak için ?

Metodoloji 1

1. Ve işareti karakterleri içeren bir içerik yazın.
2. Hepsini kodlayın.

Metodoloji 2

(bir tuz tanesi ile lütfen;))

1. Ve işareti karakterleri içeren bir içerik yazın.
2. Durum bazında, her bir ve işareti inceleyin. Şunları belirleyin:
   • İzole edilir ve net bir şekilde ve işareti vardır. Örneğin. volt & amp
      > Bu durumda kodlamayı zahmet etmeyin.
   • Yalıtılmış değildir, ancak sonuçta ortaya çıkan varlık mevcut olmadığından ve varlık listesi asla gelişemeyeceğinden asla varolmayacağından yine de belirsiz olduğunu hissedersiniz. Örneğin amp&volt
      , bu durumda kodlamayı zahmet etmeyin.
   • İzole ve belirsiz değildir. Örneğin. volt&amp
      > Kodlayın.

??

HTML5 kuralları HTML4'ten farklıdır. HTML5'te gerekli değildir - ve işareti bir parametre adı başlatmazsa. "& copy = 2" hala bir sorundur, örneğin & copy; telif hakkı sembolüdür.

Ancak bana göre, aşağıdaki metne bağlı olarak kodlamaya veya kodlamamaya karar vermek daha zor bir iş. Bu yüzden en kolay yol muhtemelen her zaman kodlamaktır.

Bence bu daha çok "tarayıcının umurunda değilken özellikleri takip et" sorusuna dönüştü. İşte benim genel cevabım:

Standartlar "şimdiki" bir şey değildir. Onlar "gelecek" bir şeydir. Geliştiriciler olarak web standartlarını takip edersek, tarayıcı satıcılarının bu standartları doğru bir şekilde uygulama olasılığı daha yüksektir ve tamamen birlikte çalışabilir bir ağa yaklaşırız, burada CSS saldırıları, özellik algılama ve tarayıcı algılama gerekli değildir. Yerleşimlerimizin belirli bir tarayıcıda neden kırıldığını veya bu sorunu nasıl çözeceğinizi bulmamız gerekmiyor.

Özellikle, HTML5 & amp; belirli bir durumda ve bir HTML5 dokümanı kullanıyorsanız (ve ayrıca kullanıcılarınızın HTML5 uyumlu tarayıcılar kullanmasını bekliyorsanız), bunu yapmanız için bir neden yoktur.

Eh, kullanıcı girdisinden geliyorsa, o zaman kesinlikle evet, bariz nedenlerden dolayı. Bu web sitesinin bunu yapmadığını düşünün: Bu sorunun başlığı gerçekten '&' olarak '&' olarak kodlamam gerekiyor mu?

Eğer böyle bir şey varsa, o echo '<title>Dolce & Gabbana</title>';zaman kesinlikle konuşmak zorunda değilsiniz. Daha iyi olurdu, ancak hiç kullanıcı yoksa farkı fark edeceksiniz.

Bize titlegerçekte ne olduğunu gösterebilir misin ? Teslim ettiğimde

<!DOCTYPE html>
<html>
<title>Dolce & Gabbana</title>
<body>
<p>am i allowed loose & mpersands?</p>
</body>
</html>

için http://validator.w3.org/ - açıkça deneysel HTML 5 modunu kullanmak için soran - bu konuda hiçbir şikayetleri vardır &s ...

HTML'de &, bir karakter başvurusunun ya da varlık başvurusunun bir başvurusunun başlangıcını işaretler . Ayrıştırıcıdaki bu noktadan sonra ya bir #karakter başvurusunu belirten ya da bir varlık başvurusunu belirten bir varlık adı ve her ikisini de a ;. Normal davranış budur.

Referans adı ya da sadece referans açılış Ama eğer &bir boşluk veya başka sınırlayıcı izler gibi ", ', <, >, &, biten ;ve hatta bir referans bölümü düz temsil etmek &atlanabilir:

<p title="&amp;">foo &amp; bar</p>
<p title="&amp">foo &amp bar</p>
<p title="&">foo & bar</p>

Yalnızca bu durumlarda, sonlama ;veya hatta referansın kendisi atlanabilir (en azından HTML 4'te). HTML 5'in bitmesini gerektirdiğini düşünüyorum ;.

Ancak spesifikasyon& , &karışıklığı önlemek için her zaman karakter referansı veya varlık referansı gibi bir referans kullanılmasını önerir :

Yazarlar , bir karakter başvurusunun başlangıcını (varlık referansı açık sınırlayıcı) karıştırmamak için &" &" yerine " " (ASCII ondalık 38) kullanmalıdır . &CDATA özellik değerlerinde karakter referanslarına izin verildiğinden yazarlar özellik değerlerinde de " " kullanmalıdır .

Kullanıcı size iletirse veya bir URL'de yayınlanırsa, bundan kaçmanız gerekir.

Sayfadaki statik metinde görünüyorsa? Tüm tarayıcılar bunu her iki şekilde de doğru şekilde yapacak, bunun için çok endişelenmeyin, çünkü çalışacak.

Güncelleme (Mart 2020): W3C doğrulayıcı artık kaçan URL'lerden şikayet etmiyor.

Resim URL'lerinin neden kaçışının gerektiğini kontrol ediyordum, bu yüzden https://validator.w3.org adresinde denedim . Açıklama oldukça güzel. URL'lerin bile kaçması gerektiğini vurgular. [PS: Sanırım URL'nin ihtiyacından bu yana tüketildiğinde kaçacak &. Herkes açıklayabilir mi?]

<img alt="" src="foo?bar=qut&qux=fop" />

Belgede bir varlık referansı bulundu, ancak bu adla tanımlanmış bir referans yok. Genellikle buna referans adının, kodlanmamış ve işaretlerinin yanlış yazılması veya sondaki noktalı virgül (;) bırakılması neden olur. Bu hatanın en yaygın nedeni, WDG tarafından "URL'lerde Ampersandlar" bölümünde açıklandığı gibi URL'lerin kodlanmamış ve işaretleri. Varlık referansları ve işareti (&) ile başlar ve noktalı virgül (;) ile biter. Belgenizde gerçek ve işareti kullanmak istiyorsanız bunu "&" (URL'lerin içinde bile!) Olarak kodlamanız gerekir. Varlık referanslarını noktalı virgülle sonlandırmaya dikkat edin; aksi takdirde varlık referansınız aşağıdaki metinle bağlantılı olarak yorumlanabilir. Ayrıca, adlandırılmış varlık referanslarının büyük / küçük harfe duyarlı olduğunu unutmayın; Aelig: &; ve æ farklı karakterlerdir.

Evet, mümkünse geçerli bir kod sunmaya çalışmalısınız.

Çoğu tarayıcı bu hatayı sessizce düzeltir, ancak tarayıcılarda hata işlemeye güvenmeyle ilgili bir sorun vardır. Yanlış kodun nasıl işleneceğine dair bir standart yoktur, bu nedenle her hata ile ne yapılacağını anlamaya çalışmak her tarayıcı satıcısına bağlıdır ve sonuçlar değişebilir.

Tarayıcıların farklı tepki verebileceği bazı örnekler, öğeleri bir tablonun içine ancak tablo hücrelerinin dışına koyarsanız veya bağlantıları iç içe yerleştirirseniz.

Özel örneğiniz için herhangi bir soruna neden olması muhtemel değildir, ancak tarayıcıdaki hata düzeltmesi örneğin tarayıcının standartlara uygun moddan tuhaflık moduna geçmesine neden olabilir ve bu da düzeninizin tamamen bozulmasına neden olabilir.

Bu nedenle, daha ciddi sorunları tespit edebilmeniz için hata listesini doğrulayıcıda kısa tutmak için başka bir şey olmasa da koddaki böyle hataları düzeltmelisiniz.

Birkaç yıl önce, web uygulamalarımızdan birinin Firefox'ta düzgün görüntülenmediğine dair bir rapor aldık. Sayfanın benzeyen bir etiket içerdiği ortaya çıktı

<div style="..." ... style="...">

Firefox tekrarlanan bir stil özniteliğiyle karşı karşıya kaldığında, her iki stili de birleştirirken, Firefox bunlardan sadece birini kullanır, dolayısıyla farklı davranış gösterir. Etiketi olarak değiştirdim

<div style="...; ..." ...>

ve eminim, sorunu çözdü! Hikayenin ahlaki özelliği, tarayıcıların geçerli HTML'yi geçersiz HTML'den daha tutarlı şekilde ele almasıdır. Yani, lanet işaretlemenizi zaten düzeltin! (Veya düzeltmek için HTML Tidy'i kullanın.)

eğer &kullanılan html o zaman ondan kaçmak gerekir

Eğer &bir JavaScript dizeleri örneğin kullanılır alert('This & that');ya document.href Bunu kullanmak gerekmez.

Document.write kullanıyorsanız, bunu kullanmalısınız; document.write(<p>this &amp; that</p>)

Yakınınızda biten bir noktalı virgülün &, farklı bir şey göstermesine neden olma olasılığına bağlıdır .

Örneğin, kullanıcılardan gelen girdilerle uğraşırken (örneğin, başlık etiketlerinize bir forum gönderisinin kullanıcı tarafından sağlanan konusunu eklerseniz), rastgele noktalı virgül koyabileceklerini asla bilemezsiniz ve bu rastgele varlıkları rastgele gösterebilir. Yani bu durumda daima kaçmak.

Kendi statik html'iniz için, kesinlikle atlayabilirsiniz, ancak uygun kaçmayı dahil etmek çok önemlidir, bundan kaçınmak için iyi bir neden yoktur.

Eğer gerçekten statik metin bahsediyoruz

<title>Foo & Bar</title>

sabit diskteki bazı dosyalarda saklanır ve doğrudan bir sunucu tarafından sunulur, o zaman evet: muhtemelen kaçması gerekmez.

Ancak, günümüzde tamamen statik olan çok az HTML içeriği olduğundan, HTML içeriğinin başka bir kaynaktan (veritabanı içeriği, kullanıcı girişi, web hizmeti çağrı sonucu, eski API sonucu) üretildiğini varsayan aşağıdaki sorumluluk reddi beyanını ekleyeceğim. ..):

Bir basitten kaçmazsanız &, o zaman bir &ya da bir  ya <b>da <script src="http://attacker.com/evil.js">ya da başka bir geçersiz metinden de kaçmamanız ihtimali vardır . Bu, içeriğinizi en iyi şekilde yanlış görüntülediğiniz ve XSS saldırılarından şüphelenebileceğiniz anlamına gelir .

Başka bir deyişle: diğer daha sorunlu durumları zaten kontrol edip kaçarken, tamamen kırık olmayan ama yine de biraz balıktan bağımsız ve kaçmak için neredeyse hiçbir neden yoktur.

Bu herkes için yararlı olup olmadığından emin değilim ... Bir süredir bununla savaşıyordum ... İşte tüm bağlantılarınızı, javascriptinizi, içeriğinizi düzeltmek için kullanabileceğiniz muhteşem bir regex. Kimsenin düzeltmek istemediği bir ton eski içerikle uğraşmak zorunda kaldım.

Bunu kalıp sayfanızdaki veya kontrolünüzdeki İşleme geçersiz kılmanıza ekleyin:

Lütfen bunu yanlış yere koyduğum için alev almayın:

// remove the & from href="blaw?a=b&b=c" and replace with & 
//in urls - this corrects any unencoded & not just those in URL's
// this match will also ignore any matches it finds within <script> blocks AND
// it will also ignore the matches where the link includes a javascript command like
// <a href="javascript:alert{'& & &'}">blaw</a>
html = Regex.Replace(html, "&(?!(?<=(?<outerquote>[\"'])javascript:(?>(?!\\k<outerquote>|[>]).)*)\\k<outerquote>?)(?!(?:[a-zA-Z][a-zA-Z0-9]*|#\\d+);)(?!(?>(?:(?!<script|\\/script>).)*)\\/script>)", "&amp;", RegexOptions.Singleline | RegexOptions.IgnoreCase);

Bağlantının ne zaman ve neden kaçmak &zorunda kalacağınıza dair oldukça iyi bir örneği var&

https://jsfiddle.net/vh2h7usk/1/

İlginç bir şekilde, buradaki cevabımda doğru bir şekilde temsil etmek için karakterden kaçmak zorunda kaldım. Yerleşik kod örneği seçeneğini (yanıt panelinden) kullanacak olsaydım, sadece yazabilirim &ve olması gerektiği gibi görünür. Ama eğer <code></code>elemanı el ile kullanacak olsaydım, doğru bir şekilde temsil edebilmek için kaçmalıyım :)