XML 轉義(XML escaping)是將特殊字符轉換為對應的 XML 實體代碼,這樣可以避免這些字符被錯誤解析或干擾 XML 的結構。XML 轉義與 HTML 轉義非常相似,主要是防止字符(如 <, >, &, ", ')在 XML 文件中被誤解釋或破壞 XML 結構。
為什麼需要 XML 轉義:
防止語法錯誤:某些字符(如 <, >, & 等)在 XML 中有特殊含義,如果直接使用這些字符,XML 解析器會將它們解釋為標籤或其他結構,導致語法錯誤。
避免數據干擾:如果需要在 XML 中插入數據(例如用戶提供的文本),這些文本中可能包含特殊字符,必須進行轉義以防干擾 XML 標籤。
防止注入攻擊:像 HTML 轉義一樣,XML 轉義也有助於防止 XML 注入或 XSS 攻擊。
XML 轉義字符:
以下是 XML 中常見的需要轉義的字符及其對應的實體代碼:
字符 XML 實體代碼 實體名稱
& & ampersand
< < less than
> > greater than
" " double quote
' ' single quote
  space
轉義的用途:
防止 XML 結構錯誤:如果文本中包含 < 和 > 字符,解析器會將它們誤認為標籤的開始和結束符號。因此,需要將這些符號轉義為 < 和 >。
避免數據衝突:如果文本中包含引號(" 或 '),它們可能會干擾屬性值的定界符。這時可以使用 " 或 ' 來轉義。
確保數據安全:對用戶輸入進行轉義可以防止不當使用 XML 文件的攻擊,特別是在 Web 應用中。
範例:
假設你需要在 XML 文件中插入一段包含特殊字符的文本。例如:
xml
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
如果 body 內容中包含了特殊字符 < 或 &,你需要進行 XML 轉義:
xml
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend! <Important></body>
</note>
在這個例子中,< 被轉義為 <,> 被轉義為 >,以確保不會錯誤解析為 XML 標籤。