Javascript 关于jQuery更改。。。使用.html();
好吧,假设我有一个jQuery函数。。。这是一篇AJAX文章。。。成功之后,我会这样做Javascript 关于jQuery更改。。。使用.html();,javascript,jquery,Javascript,Jquery,好吧,假设我有一个jQuery函数。。。这是一篇AJAX文章。。。成功之后,我会这样做 $("#title"+id).html(Z); Z是var Z=$(“#“+X+”textarea.editAnswer”).val() 但是,如果我在文本区域键入类似于alert('Test')的内容然后按保存。。。它将保存它并弹出测试警报。所以如何修复此问题?这是代码注入,应避免使用HTML编码 要么: 从服务器返回HTML编码的结果(保存后),并将其填充到#title元素或 使用escape() 根据
$("#title"+id).html(Z);
Z是var Z=$(“#“+X+”textarea.editAnswer”).val()代码>
但是,如果我在文本区域键入类似于alert('Test')的内容代码>然后按保存。。。它将保存它并弹出测试警报。所以如何修复此问题?这是代码注入,应避免使用HTML编码
要么:
从服务器返回HTML编码的结果(保存后),并将其填充到#title
元素或
使用escape()
根据场景的不同,您应该始终使用让用户更难破解的方法。我建议您使用服务器端方法,因为用户将无法覆盖您的自定义javascript函数并解决他们自己的扭曲议程…这是代码注入,应该避免使用HTML编码
要么:
从服务器返回HTML编码的结果(保存后),并将其填充到#title
元素或
使用escape()
根据场景的不同,您应该始终使用让用户更难破解的方法。我建议您使用服务器端方法,因为用户将无法覆盖您的自定义javascript函数并解决他们自己的扭曲议程…您的选项是转义代码或使用白名单
你需要html代码吗?看看这个问题:
然后是这些:
您的选项是转义代码或使用白名单
你需要html代码吗?看看这个问题:
然后是这些:
什么是不需要的?警报弹出还是什么?修复什么?您没有指定行为与您想要的行为有何不同。什么是不想要的?警报弹出还是什么?修复什么?您没有指定行为与您想要的行为有何不同。是的。切中要害。如果有人输入了
,你的应用程序也会崩溃,你需要对它进行编码。然后我会在文本区域中得到Yay%2C%20herp%21%3F%20%3Cscript%3Ealert%28%27Test%27%29%3B%3C/script%3E。见鬼,是的。切中要害。如果有人输入了
,你的应用程序也会崩溃,你需要对它进行编码。然后我会在文本区域中得到Yay%2C%20herp%21%3F%20%3Cscript%3Ealert%28%27Test%27%29%3B%3C/script%3E。搞什么鬼。