我有一个 HTML 标签 <textarea>$FOO</textarea>
和 $FOO
变量将填充任意 HTML 和 JavaScript 内容,以在文本区域内显示和编辑。我需要对 $FOO 应用什么样的“转义”?
我首先尝试将它转义为 HTML,但这没有用(因为我将看到的不是 $FOO 的原始 HTML 代码,而是转义的内容。这当然不是我想要的:我想显示未转义的 HTML/JS 变量内容...
是否无法在 <textarea>
中显示 HTML 内容?标记并允许它作为完整的 HTML 进行编辑?
谢谢 延斯
最佳答案
I first tought of escaping it HTML
是的,没错。 <textarea>
的内容与 <span>
等任何其他元素的内容没有区别或 <p>
: 如果你想在里面放一些文本,你必须对任何 <
进行 HTML 转义或 &
其中的字符为<
和 &
分别。
浏览器确实倾向于在 <textarea>
中为错误标记提供更多回旋余地 | s,因为无效未转义的回退 <
symbols 是将它们呈现为文本而不是标签,但这并没有减少它的错误或危险(对于 XSS)。
but this didnt work
请发布您所做的无效操作。 HTML 转义绝对是正确的做法。
关于HTML: <textarea>-Tag: 如何正确转义那里显示的 HTML 和 JavaScript 内容?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2502360/