我有一个简单的网页,它接受查询项并将它们制作到页面中。示例网址:
http://quir.li/player.html?media=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3D0VqTwnAuHws
然后页面会在页面某处显示 URL:
<span id="sourceUrlDisplay">http://www.youtube.com/watch?v=0VqTwnAuHws</span>
我觉得这会使页面容易受到 XSS 的攻击,以防页面加载包含类似于以下内容的 URL
http://quir.li/player.html?media=<script>alert('test')</script>
我发现,将 URL 呈现为<pre>
标签并没有帮助。有没有一个简单的解决方案,比如一个 HTML 标签,它的内容真的没有被解释而只是打印出来?
注意:这个问题与这个问题有些相似,但更笼统。