我的 HTML 5 应用程序的用户可以在表单中输入他的名字,这个名字将显示在其他地方。更具体地说,它将成为一些 HTML 元素的 innerHTML
。
问题是,如果在表单中输入有效的 HTML 标记,这可能会被利用,即某种 HTML 注入(inject),如果您愿意的话。
用户名只在客户端存储和显示,最终受影响的只有用户自己,但还是马虎。
在将字符串放入 Dojo 中的元素 innerHTML
之前,是否有办法对字符串进行转义?我猜 Dojo 曾经有过这样的功能 (dojo.string.escape()
),但它在 1.7 版本中不存在。
谢谢。
最佳答案
dojox.html.entities.encode(myString);
关于javascript - 道场工具包 : how to escape an HTML string?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9903586/