escape |
Échappement |
| Liquid (Microsoft) |
Syntaxe
Paramètres
| Nom |
Description |
| texte |
Ce paramètre permet d'indiquer la chaîne de caractères dont les caractères spéciaux HTML seront convertis en entités HTML sécurisées. |
Description
Ce filtre permet d'échapper les caractères spéciaux pour l'insertion dans le HTML.
Remarques
- Protection contre les injections HTML : Le filtre escape est essentiel pour la sécurité des pages web dynamiques. Il convertit les caractères spéciaux
comme <, >, &, ' et " en entités HTML (<, >,...), empêchant ainsi l'injection de code malveillant dans le navigateur.
- Préserve la structure HTML de la page : En échappant les balises HTML incluses dans du texte utilisateur,
ce filtre garantit que ces balises ne seront pas interprétées par le navigateur comme du HTML actif. Cela permet d'insérer du texte
contenant des signes réservés sans corrompre l'arborescence HTML.
- Utile pour afficher du code dans une page : Lorsqu'on veut afficher du HTML ou
JavaScript sous forme de texte brut (par exemple dans un tutoriel), escape permet de montrer le code tel quel, sans
qu'il soit exécuté. Cela facilite la présentation pédagogique ou technique.
- Indispensable dans les champs personnalisés : Lorsqu'un champ texte est rempli dynamiquement par un utilisateur (exemple : formulaire, commentaire,
champ personnalisé), le filtre escape garantit que l'injection de balises <script> ou <style> ne perturbent pas la mise en page ou n'introduisent pas de
faille XSS.
- Complémentaire du filtre raw dans certains cas : Le filtre escape fait le contraire de ce que raw permet : là où raw empêche
Liquid de traiter du contenu comme du code, escape empêche le navigateur de traiter du texte comme du HTML. Utilisés
ensemble de manière réfléchie, ils assurent un contrôle fin du rendu HTML.
- Ne modifie pas les caractères alphanumériques : Le filtre ne touche que les caractères spéciaux HTML. Les
lettres, les chiffres, les espaces, les accents et la ponctuation classique restent inchangés, ce qui permet une transformation non destructive du contenu.
- Particulièrement important dans les boucles : Quand on utilise des boucles for pour afficher du contenu provenant d'une source dynamique (comme une liste
d'éléments saisis par l'utilisateur), l'échappement automatique via escape est fortement recommandé pour chaque valeur affichée dans la page.
- Permet une meilleure compatibilité inter-navigateurs : En convertissant les caractères problématiques en entités
HTML, escape contribue à un affichage plus cohérent du texte sur différents navigateurs et plateformes. Il évite les
comportements imprévus liés à l'interprétation du HTML brut.
Dernière mise à jour : Jeudi, le 24 Juillet 2025
