Question

从版本1.9.0开始，Twig为html_attr过滤器提供escape策略（请参阅documentation）。

html策略使用htmlspecialchars PHP函数（通过快速查看源代码可以确认）。 html_attr策略使用一系列自定义替换，最终似乎具有相同的效果。

这两种策略有区别吗？

Answer 1

/*
 * While HTML supports far more named entities, the lowest common denominator
 * has become HTML5's XML Serialisation which is restricted to the those named
 * entities that XML supports. Using HTML entities would result in this error:
 *     XML Parsing Error: undefined entity
 */

实际上，html策略只会更改HTML中具有特殊含义的字符，而html_attr策略会替换几乎所有非字母数字字符，包括空格。参见示例：

请参阅文字，好吗？

raw:       See this <b>text</b>, OK?

html:      See this &lt;b&gt;text&lt;/b&gt;, OK?
html_attr: See&#x20;this&#x20;&lt;b&gt;text&lt;&#x2F;b&gt;,&#x20;OK&#x3F;

根据我的理解，对于HTML，您可以使用html策略，对于XML文档，您最好使用html_attr策略，但我在实践中没有尝试过。

Twig中escape（'html'）和escape（'html_attr'）之间的区别

1 个答案: