Javascript 如何添加警报（'test'）在文本框中？

这是奇怪的要求

我想提醒“测试”；在输入类型文本中，但不应执行警报

我只需要设置文本警报“test”；。 我正在使用nwt框架。。。在JS中也可以这样做吗

谢谢， 瓦西姆博士

我想提醒“测试”；在输入类型文本中，但不应执行alertalert提示符

。我通常使用元素。value=alert'test'

如果听起来像是在生成一个内联元素，在这种情况下，它将终止HTML元素，并导致脚本在字符串中间终止。 转义/以使其不被HTML解析器视为结束标记：

element.value = "<script>alert('test');<\/script>"

JQuery版本：

$('yourInputSelectorHere').val("<script>alert('test');<\/script>")

---

是否要修复输入元素上的XSS？ 您可以在输出到输入字段之前对字符串进行编码

PHP:

C:

在该输出值之后，直接输入到输入字段：

<input type="text" value="<?php echo $str" />

---

好的，回答这个问题。我只是把我的手机换成了和。之前发生的事情是我用来设置文本警报“1”，但在设置输入文本浏览器中的文本之前，将其转换为。因此，再次将它们转换为和，因为浏览器将理解为仅标记和转换它们，而不是在定义文本框中执行脚本。你的意思是说一只猫吗？您通常如何设置其中一个的值？你想设定的值有什么问题？是的，昆汀！其输入类型=文本。我通常使用元素。value=alert'test'；。因此，实际上，当用户输入警报“test”时，我遇到了一个XSS问题。为此，我正在执行escape并在input type=text中设置一个unescape，但这似乎是在执行警报。请将您的HTML/JS发布到此处，很难理解您的问题是什么。因此，我有一个XSS问题，当用户输入警报“测试”时，该问题出现在何处；如果用户输入的代码只在浏览器中执行，不用担心，这不是XSS的问题。用户只需打开控制台并执行他们想要的任何代码。为此，我正在执行escape和unescape[…]，但这似乎是在执行警报，似乎是在评估不应该执行的代码。因为你没有发布你的代码，我们不能在这方面帮助你。@FelixKling-不是这样。用户可能访问恶意的第三方网站，导致浏览器向易受攻击的网站提交表单。根据javascript标记描述：通常需要纯javascript回答，除非框架或库的标记也存在。。当然，在某些情况下，建议使用jQuery是可以接受的，但这里确实不需要jQuery；；searchtextfilter._node.value=searchfieldvalue.replace/，；这是否正确？searchfieldvalue=警报“测试”；；searchtextfilter._node.value=searchfieldvalue.replace/，；Quetine这是正确的吗？不。您需要并且假设您正在生成回答中所述的客户端代码，如果您没有，并且所有的JS都在服务器端运行，那么这就不是问题了……你需要看看生成的HTML源代码，然后问一个问题，关于你需要什么HTML来显示你现在拥有的HTML，而不涉及服务器端JS，或者如何生成你想要的HTML来显示你拥有的HTML，您需要的HTML和足够的服务器端JS来重现问题。我在客户端执行此操作，因此在输入文本内设置时，我应该执行此searchtextfilter。_node.value=searchfieldvalue.replace/？？请使用此regexi检查如果您正在执行此客户端，并且问题如此答案中所述，那么这将不起作用，因为脚本元素已被解析，更改它将为时已晚。Thnx！但我需要知道这个JS。

$('yourInputSelectorHere').val("<script>alert('test');<\/script>")

$str = htmlentities($str);

str = WebUtility.HtmlEncode(str);

<input type="text" value="<?php echo $str" />