HighlightJS i unescaped code :: 4programmers.net

hercules

2022-04-12 12:27

hercules2022-04-12 12:27

Rejestracja:ponad 5 lat
Ostatnio:ponad 2 lata
Postów:77

0

Cześć,
używam sobie na stronie biblioteki highlightJs: https://highlightjs.org/
żeby ładnie wystylować kod.
Dokładnie chciałbym stylować kod TypeScriptowy.
Wstawiam więc taki blok ze swoim kodem:

Kopiuj

<pre>
          <code class="language-typescript">
            enum ChangeDetectionStrategy {
              OnPush: 0
              Default: 1 
            }
          </code>
</pre>

wywołuję

Kopiuj

hljs.highlightAll();

i kod ładnie się styluje. Czyli wszystko zadziałało.
Problem polega na tym, że w konsoli lecą Warningi:

Kopiuj

One of your code blocks includes unescaped HTML. This is a potentially serious security risk.
https://github.com/highlightjs/highlight.js/wiki/security
The element with unescaped HTML:
<code class="language-typescript hljs">...</code>

Googlając wszędzie problem opisany jest w przypadku gdy kod w bloku code jest html'em. Wtedy trzeba go "escape'ować", to zrozumiałe.
Ale mój kod jest TypeScriptem. Na to nigdzie nie znalazłem rozwiązania.
Problem też wystąpi w kodzie innych języków (C#, C++, JAVA).
Może ktoś z Was używał highlightJS i wie jak sobie z tym poradzić?

LukeJL

2022-04-12 12:39

LukeJL2022-04-12 12:39

Rejestracja:około 11 lat
Ostatnio:około 3 godziny
Postów:8423

1

kod w TS również może być mylący (np. generyki mają nawiasy trójkątne <coś tam> ).

One of your code blocks includes unescaped HTML.

może chodzi o inny blok kodu, niż wkleiłeś?

hercules

2022-04-12 12:41

hercules2022-04-12 12:41

Rejestracja:ponad 5 lat
Ostatnio:ponad 2 lata
Postów:77

0

@LukeJL: to jest jedyny kod (jedyny pre code na stronie). I w treści warninga jest on wskazany: ...

LukeJL

2022-04-12 13:08

LukeJL2022-04-12 13:08

Rejestracja:około 11 lat
Ostatnio:około 3 godziny
Postów:8423

2

Może ... oznacza pominięcie treści, a nie faktyczne trzy kropki?
No i może on łapie już <code class="language-typescript"> jako kod i stąd ten komunikat?

A weź spróbuj inaczej np.

Kopiuj

 hljs.highlight('const foo: string = "<div>kotek</div>" ', {language:'ts'}).value

powinno dać ci:
<span class="hljs-keyword">const</span> foo: <span class="hljs-built_in">string</span> = <span class="hljs-string">"<div>kotek</div>"</span>

czyli ładnie <> są eskejpowane i <div>kotek</div> zamienia się w <div>kotek</div>

edytowany 1x, ostatnio: LukeJL 2022-04-12 13:09

hercules

2022-04-13 19:29

hercules2022-04-13 19:29

Rejestracja:ponad 5 lat
Ostatnio:ponad 2 lata
Postów:77

0

@LukeJL: No tak ale ja w swoim przykładzie nie mam żadnych znaczników HTML. Mam jedynie zwykłą deklarację enuma. I wali warningiem jak wyżej.
Jak dodam jakikolwiek inny kod, również w innym języku to też wali takim błędem. Ale żaden kod nie ma znaczników HTMLowych/XMLowych, które trzebaby escapeować

Chociaż w treści warningu wygląda to tak jakby on to co jest wewnątrz bloku code wystylował (czyli wywołał metodę highlightAll) co sprowadza sie do dodania znacznikwó HTMLowych np
span class="hljs-selector"
i dopiero wtedy walnął warningiem, że te znaczniki, które sam dodał są nieescapeowane

edytowany 3x, ostatnio: hercules 2022-04-13 19:44

Xarviel

2022-04-13 19:59

Xarviel2022-04-13 19:59

Rejestracja:ponad 3 lata
Ostatnio:dzień
Postów:847

2

A jak dokładnie wywołujesz tą funkcje?

Bo zrobiłem sobie prosty przykład na CodePen i żeby odwzorować Twój błąd musiałem dwa razy wywołać funkcję hljs.highlightAll();

Kopiuj

<pre>
  <code class="language-typescript">
    enum ChangeDetectionStrategy {
      OnPush: 0
      Default: 1 
    }
    
    class TypeScript {
      constructor(private name: string, private surname: string) {}
    }
  </code>
</pre>

<script>
  hljs.highlightAll();
  hljs.highlightAll();
</script>