本文介绍了一个简单的JavaScript函数,用于将字符串中的HTML标签转义,防止潜在的XSS攻击。但需要注意的是,此函数并未转义单引号和双引号,因此在特定场景下可能仍然存在安全风险。
这应该适合你:
http://blog.nickburwell.com/2011/02/escape-html-tags-in-javascript.html
function escapeHTML( string )
{
var pre = document.createElement('pre');
var text = document.createTextNode( string );
pre.appendChild(text);
return pre.innerHTML;
}
安全警告
该函数不会转义单引号和双引号,如果在错误的上下文中使用,可能仍会导致XSS。例如:
var userWebsite = '" οnmοuseοver="alert(\'gotcha\')" "';
var profileLink = 'Bob';
var div = document.getElemenetById('target');
div.innerHtml = profileLink;
// Bob
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
