0

如果将图像粘贴到 RichTextArea,then.getHTML(),它将返回一个转义的 html 字符串,如下所示:

"<img src="http://www.example.com/images/n1.png" border="0" height="75" width="199">"

那么如果

div.setInnerHTML(escaped html string),

它将显示为纯 html:

<img src="http://www.example.com/images/n1.png" border="0" height="75" width="199">

非预期结果:图像和其他 html 内容存在此问题,例如,如果将此内容输入到 RichTextArea:

<script>alert("evil xss");</script>

然后 getHTML() 将返回:

<script>alert("邪恶的 xss");</script>

然后是 div.setInnertHTML(escapted html),它会显示为

&lt;script&gt;alert("evil xss");&lt;/script&gt;

非预期内容:

<script>alert("evil xss");</script>

那么,如何正确展示它们呢?

4

1 回答 1

-1

使用 HTML(呈现为 div)并将其分配为 SafeHtmlString。

于 2015-06-16T02:19:30.203 回答