我有一个textarea
在我的 html 和 button
在底部。当按下按钮时我想添加 textarea
的内容在数据库和 JQuery 中,我想在 DOM 中显示它,但这很容易受到攻击,因为有人可能会这样写:
<script> some bad code here </script>
如何在插入 DOM 时阻止执行此代码并显示它而不是运行它(例如 facebook 插入帖子显示 <script>
标记并且不允许执行它)
这个漏洞是攻击textarea表单的唯一方法吗?
最佳答案
如果您通过这样的函数传递文本区域值会怎样:
var escapeTags = function(str) {
return str.replace(/</g, '<').replace(/>/g, '>');
}
当然,这个最好是在服务器端做。
关于javascript - 如何防止执行脚本但在 DOM 中显示它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19830021/