锚点标记的HTML代码是啥？

Posted 2023-04-16

锚点标记的html代码，找了很多都不怎么好用，很多在DW里不显示，或者在网页里不显示...大家给个详细点的代码吧...找的眼疼...

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title></title>
<style type="text/css">
divheight: 500px;background: #1ab394; text-align: center;font-size: 30px;
div:nth-child(2n) background: #09f;
.mao
  padding: 10px;
   height: 140px;background: #fff;
   position: fixed;right: 10%;top: 20%;
   z-index: 100;
  
.mao a
  display: block;
  text-decoration: none;
  color: #000;font-size: 16px;

</style>
</head>
<body>
  <div class="mao">
   <a href="#m1">锚点1</a>
   <a href="#m2">锚点2</a>
   <a href="#m3">锚点3</a>
   <a href="#m4">锚点4</a>
   <a href="#m5">锚点5</a>
   <a href="#m6">锚点6</a>
  </div>
  <div id="m1">锚点1</div>
  <div id="m2">锚点2</div>
  <div id="m3">锚点3</div>
  <div id="m4">锚点4</div>
  <div id="m5">锚点5</div>
  <div id="m6">锚点6</div>
</body>
</html>

参考技术A

大概有3种方法

1;给锚点文本标签添加id，使用<a href="#"></a>来定位

如:

<div>
    <a href="#a01"></a>
</div>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<p id="a01">练习</p>
<p>练习</p>

2、给a标签的文本添加锚点

如:

<div>
    <a href="#a01"></a>
</div>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<p>练习</p>
<a name="a01" href=“#”>练习</a>
<p>练习</p>

3、使用js

参考技术B a.html 里的 <a herf="" name="abc">XXX</a>那么 a.html#abc 就直接显示到xxx处

在 html 编辑器中允许锚标记是不是安全？

【中文标题】在 html 编辑器中允许锚标记是不是安全？

【英文标题】：Is it safe to allow an anchor tag in an html editor?在 html 编辑器中允许锚标记是否安全？

【发布时间】：2019-02-01 02:22:36

【问题描述】：

我在我的应用程序的一个文本区域中允许使用 HTML，现在我将在客户端和服务器端验证中阻止某些 HTML 元素和属性。

我想知道允许锚点<a> 标记是否明智。我真的需要我的用户能够输入锚点。但是，我正在思考一个坏人对锚标签的所有误用。

这是我想出的。

可以使用它来执行外部脚本。例如

http://external/website/js/function">虚拟文本

流氓可以简单地从源域中执行我自己的 JS 函数之一。

Gotchya！

虚拟文本

当然，我可以通过确保所有内容都得到适当的范围来缓解＃2，但我只是担心尝试考虑可能发生的所有邪恶事情的好习惯，因此我可能会将它们合并到我的代码/设计中。

还有其他方法可以让某人滥用锚标记吗？

【问题讨论】：

请记住，any 标签可以附加一个内联侦听器，例如<a href="somewhere" onclick="evilFn = function() alert('evil') ; evilFn();">link</a>。这不仅是<a>s 的问题，而是任何元素

是的，您的编辑器中可以有任何标签，但请确保清理您的输入并防止任何 xss 攻击。有一些为此的库

就像 Pars 说的那样，有一些经过验证且值得信赖的库来处理这类事情 - 使用它们可能比尝试自己重新发明***更好（这可能会也可能不会导致安全结果）

@Pars 谢谢。我在看一些。在服务器端，我非常了解如何处理请求验证。在客户端，我正在考虑自己做，但我现在正在考虑使用 lib。你想推荐一些吗？

@user2864740 这与我的要求完全无关。你是在建议我应该写一种元语言吗？你到底在说什么？问题非常具体。除非我遗漏了什么，否则我认为您的评论是喷枪。

【参考方案1】：

是的，在你的应用程序中允许一个标签是安全的。 为了具体回答您的问题，您已经涵盖了大部分内容，但是某个地方的某个人正在尝试新问题。

为了解决这个问题，使用最新的过滤库将缓解 xss 攻击link

一旦输入格式正确（转义不受信任的数据），通过 HTML 解析器运行它。这会删除不在现有白名单上的所有内容。

你不需要自己写，有很多已经存在link，还有其他的。

附：建议您在服务器端而不是客户端进行过滤。 link