如何防止文本字段中的输入包含 HTML 和 JavaScript 代码?
示例:我有一个输入文本字段。如果用户输入 javascript 指令,它们就会被执行。
我该如何修改
<script>alert('aces')</script>
这样它会在我的字段中显示为普通文本,而不是在我尝试列出它时显示为警报?
问问题
109 次
1 回答
0
您是否查看过 underscore.js(Backbone.js 使用)之类的库?
它带有转义功能,可防止用户输入的 javascript 运行。 http://underscorejs.org/#escape和http://underscorejs.org/#unescape
所以你会写:
警报(_.escape(USERINPUT));
当您将用户输入添加到 DOM 时,这一点变得更加重要,出于安全原因,您需要转义输入(或只允许选择诸如 <strong> 之类的无害标签)。
于 2013-08-09T20:46:28.513 回答