我需要将 HTML 内容从服务器发送到客户端以显示它们(用户可以以 HTML 格式发布评论,其他人可以查看这些评论)。我的客户端是丰富的 JS 应用程序,它通过 JSON API 与服务器通信。
我的问题是如果我返回这样的回复:
{
commentId: '123',
authorId: '123',
comment: 'possible HTML here'
}
我应该在服务器上的字段中转义内容comment
并将转义内容发送给客户端,还是应该发送原始 HTML 并让客户端在需要时负责转义?什么是普遍做法?
还要显示该 HTML,我应该以某种方式对其进行消毒(例如删除脚本标签等)吗?