如何在 XSLT 中安全转义 XML 节点以生成符合 HTML 规范的输出

本文介绍在使用 xslt（尤其是 .net 环境）将含特殊字符（如 `

在标准 .net System.Xml.Xsl（XSLT 1.0）中， 会对元素文本内容自动进行 HTML 实体转义（如将 直接在属性值中使用 {/Contact/Name} 插值语法（即 AVT：Attribute Value Template）时，XSLT 处理器不会对插入的字符串做额外转义——它原样嵌入未编码的字符，导致

例如，原始 XML 中的：

hello zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('!')zuojiankuohaophpcn/scriptyoujiankuohaophpcn

在 XSLT 1.0 中使用：

会生成未转义的 value=”hello “，而非预期的 value=”hello zuojiankuohaophpcnscriptyoujiankuohaophpcnalert(‘!’)zuojiankuohaophpcn/scriptyoujiankuohaophpcn”。

立即学习“前端免费学习笔记（深入）”；

✅ 正确方案：升级至 XSLT 3.0 + xhtml 输出方法

XSLT 3.0 规范明确要求：当

时，所有属性值中的动态内容必须按 XHTML 规则进行 HTML 字符实体转义（参见 XSLT 3.0 § 19.2.4）。这是解决该问题最标准、最可靠的方式。

示例代码（基于 SaxonCS / Saxon HE + .NET 6+）

using net.sf.saxon.s9api; using System.IO;  var processor = new Processor(false); var xml = @"hello zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('!')zuojiankuohaophpcn/scriptyoujiankuohaophpcn"; var xslt = @"            applyTemplates(inputDoc, processor.NewSerializer(output));  Console.WriteLine(output.ToString());

✅ 输出效果（关键部分）：

   Name: hello zuojiankuohaophpcnscriptyoujiankuohaophpcnalert('!')zuojiankuohaophpcn/scriptyoujiankuohaophpcn   Input:  

⚠️ 注意事项：.NET 原生 XslCompiledTransform 不支持 XSLT 3.0，必须引入第三方处理器（如 SaxonCS 商业版，或开源兼容方案如 IKVM + Saxon HE java 版）。使用 method=”xhtml” 而非 “html” 是关键：xhtml 模式启用严格转义策略；html 模式为向后兼容，对属性值插值不做转义。若需保留 jsON-like 属性（如 data-title），建议用 concat() 构造字符串，避免模板中引号嵌套混乱；也可改用 xsl:attribute 显式构造并配合 xsl:value-of disable-output-escaping=”no”（默认即为 no）。

? 替代方案（仅限 XSLT 1.0 场景）

若无法升级 XSLT 版本，可借助扩展函数手动转义（需自定义 msxsl:script 或 C# 扩展），但存在维护性差、跨平台受限等问题，不推荐用于生产环境。

✅ 总结

始终优先采用 XSLT 3.0 + XHTML 输出方法，这是现代 Web 安全与标准化实践的必然选择。