本文讨论了JavaScript中处理字符串时的安全问题,特别是如何避免</script>标签导致的问题。介绍了使用escapeHTML和escapeJavascript方法来确保字符串在网页中安全显示的方法。
js字符串中出现任何<>标签都可以,就是不能出现</script>标签。
例如:
<script>
vart="</script>";
</script>
这里会出错。必须escapeHTML掉。
对于:
<script>
vart="$stringescapeutil.escapeJavascript($order.memo)";
</script>
无论如何要escapeJavascript过滤掉单引号。如果memo中可能有</script>标签,那么还需要escapeHTML,否则就可以不用,当然使用tb-velocity就不需要自己调用escapeHTML了。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
