Javascript HTML编码客户端输入类型文本(文本框)的内容(使用Jquery等)
我正在使用Ajax发布网站的评论 不,用户也可以在文本框中编写一些脚本 问题是我想对它进行HTML编码(删除HTML标记、脚本等) 表示删除html元素 到目前为止,我做了一次不成功的尝试:Javascript HTML编码客户端输入类型文本(文本框)的内容(使用Jquery等),javascript,jquery,html,Javascript,Jquery,Html,我正在使用Ajax发布网站的评论 不,用户也可以在文本框中编写一些脚本 问题是我想对它进行HTML编码(删除HTML标记、脚本等) 表示删除html元素 到目前为止,我做了一次不成功的尝试: var textData = $("'" + $('#textBox').val() + "'").text(); 但这是我荒谬的尝试。虽然它有时会工作,但可能会因特殊符号等而失败 对此,我们深表感谢 多谢各位 编辑: 每当用户发布评论时,我都会将评论发送到服务器,在服务器端对其进行编码并保存到DB,
var textData = $("'" + $('#textBox').val() + "'").text();
每当用户发布评论时,我都会将评论发送到服务器,在服务器端对其进行编码并保存到DB,同时在客户端更新我的HTML。我不想从服务器上取回经过编码的消息您真的不应该在客户端执行此操作。攻击者只需发布一条评论,使用调试工具(如)截获请求,修改请求,使其包含一些禁止的字符,就可以阻止您
强烈建议您改为在服务器上执行此操作。在将每个注释写入文档之前,只需通过PHP中的
htmlentities强烈建议您改为在服务器上执行此操作。在将注释写入文档之前,只需通过PHP中的
htmlentitiesyou have written a nice article<script></script>
您应该在博客页面中显示评论时进行编码,而不是在客户端,这将有助于避免XSS攻击和其他攻击。编码不是删除html、脚本标记,而是将尖括号表示为字符实体名称 例如
you have written a nice article<script></script>
xvar yourText = $('#textbox').val(); // or whatever
var yourTextHTML = $('<span></span>').text(yourText).html();
var yourText=$('#textbox').val();//或其他任何内容
var yourTextHTML=$('').text(yourText.html();
xvar yourText = $('#textbox').val(); // or whatever
var yourTextHTML = $('<span></span>').text(yourText).html();
var yourText=$('#textbox').val();//或其他任何内容
var yourTextHTML=$('').text(yourText.html();
.HTML(yourText).text().HTML(yourText).text()