Javascript 在使用XMLSerializer（）序列化XML之前删除XML中的无效字符

我正在尝试将用户输入存储在客户端（javascript）的XML文档中，并将其传输到服务器进行持久化

例如，一个用户粘贴了包含STX字符（0x2）的文本。XMLSerializer没有转义STX字符，因此没有序列化为格式良好的XML。或者.attr（）调用本应转义STX字符，但在任何一种情况下，都会生成无效的XML

我发现浏览器内XMLSerializer（）的输出并不总是格式良好的（甚至不满足浏览器自己的DOMParser（）

此示例显示XMLSerializer（）未正确编码STX字符：

>doc=$.parseXML（'\n'）；
#文件
>$（doc.find（“elem”）.attr（“someattr”，String.fromCharCode（0x2））；
[ ​​ ]
>serializedDoc=新的XMLSerializer（）.serializeToString（doc）；
""
>$.parseXML（ddoc）；
错误：无效的XML:

我应该如何在浏览器中构造一个XML文档（参数由任意用户输入确定），以便它总是格式良好（所有内容都正确转义）？我不需要支持IE8或IE7

（是的，我确实在服务器端验证了XML，但是如果浏览器将一个格式不正确的文档交给服务器，服务器所能做的最好的事情就是拒绝它，这对可怜的用户没有多大帮助）

这里有一个函数sanitizeStringForXML（）它既可以用于在赋值之前清除字符串，也可以用于派生函数removeInvalidCharacters（xmlNode），该函数可以传递给DOM树，并将自动清理属性和textNodes，以便安全地存储它们

var stringWithSTX = "Bad" + String.fromCharCode(2) + "News";
var xmlNode = $("<myelem/>").attr("badattr", stringWithSTX);

var serializer = new XMLSerializer();
var invalidXML = serializer.serializeToString(xmlNode);

// Now cleanse it:
removeInvalidCharacters(xmlNode);
var validXML = serializer.serializeToString(xmlNode);

var stringWithSTX=“Bad”+String.fromCharCode（2）+“News”；
var xmlNode=$（“”）.attr（“badattr”，stringWithSTX）；
var serializer=新的XMLSerializer（）；
var invalidXML=serializer.serializeToString（xmlNode）；
//现在清洗它：
removeInvalidCharacters（xmlNode）；
var validXML=serializer.serializeToString（xmlNode）；

我基于中的字符列表，但是补充平面需要5个十六进制数字的unicode字符，Javascript正则表达式不包含用于此的语法，所以现在，我只是将它们剥离出来（您没有遗漏太多…）：

//警告：包含补充平面太痛苦了，这些字符（0x10000或更高）
//将被此函数剥离。请在以下位置查看您缺少的内容（继承文字、表情符号等）：
// http://en.wikipedia.org/wiki/Plane_（Unicode）#补充#多语言#
var NOT_SAFE_XML_1_0=/[^\x09\x0A\x0D\x20-\xFF\x85\xA0-\uD7FF\uE000-\uFDCF\uFDE0-\uFFFD]/gm；
函数sanitizeStringForXML（字符串）{
“严格使用”；
返回字符串.replace（在XML中不安全）；
}
函数removeInvalidCharacters（节点）{
“严格使用”；
if（node.attributes）{
对于（var i=0；i

请注意，这只会从属性和textNodes的NodeValue中删除无效字符。它不会检查标记名或属性名、注释等。

检查 ,

非常有用的要点，示例用法：

const resultXml = removeXMLInvalidChars(INPUT_XML_STRING, true);

---

我不确定还有什么比逐字检查源字符串、根据需要转换为实体更容易的了。我不相信自己会这么做（我甚至不太了解XML，无法寻找其他可能的问题）…是否有一个通用/标准JS库为我做这件事makeSafeForXML（inString）？另外，您是否会意外地完成双重实体化？例如，如果在未来的浏览器中，XMLSerializer（）+attr（）完成了实体化，您将完成双重转义？我并不是说绝对来说很容易：-）我猜可能有人做了类似的事情并提供了它，但这似乎是一种不寻常的问题；通常在浏览器的JavaScript中，您的代码是XML的接收者，而不是源代码。XML中不能有字符

0x2

。在XML 1.0版中这是非法的。唯一允许的控制字符是

\r

和

\n

，所以这是一个错误。请更正字符列表，如果有错误，我不知道：-（为什么要将多行标志

m

添加到正则表达式？应该以相同的方式匹配

// WARNING: too painful to include supplementary planes, these characters (0x10000 and higher) 
// will be stripped by this function. See what you are missing (heiroglyphics, emoji, etc) at:
// http://en.wikipedia.org/wiki/Plane_(Unicode)#Supplementary_Multilingual_Plane
var NOT_SAFE_IN_XML_1_0 = /[^\x09\x0A\x0D\x20-\xFF\x85\xA0-\uD7FF\uE000-\uFDCF\uFDE0-\uFFFD]/gm;
function sanitizeStringForXML(theString) {
    "use strict";
    return theString.replace(NOT_SAFE_IN_XML_1_0, '');
}

function removeInvalidCharacters(node) {
    "use strict";

    if (node.attributes) {
        for (var i = 0; i < node.attributes.length; i++) {
            var attribute = node.attributes[i];
            if (attribute.nodeValue) {
                attribute.nodeValue = sanitizeStringForXML(attribute.nodeValue);
            }
        }
    }
    if (node.childNodes) {
        for (var i = 0; i < node.childNodes.length; i++) {
            var childNode = node.childNodes[i];
            if (childNode.nodeType == 1 /* ELEMENT_NODE */) {
                removeInvalidCharacters(childNode);
            } else if (childNode.nodeType == 3 /* TEXT_NODE */) {
                if (childNode.nodeValue) {
                    childNode.nodeValue = sanitizeStringForXML(childNode.nodeValue);
                }
            }
        }
    }
}

const resultXml = removeXMLInvalidChars(INPUT_XML_STRING, true);