该博客探讨了如何在富文本编辑器中处理HTML标签,以防止脚本注入攻击。首先,通过htmlEncode函数对HTML标签进行转义,然后存入数据库。在展示内容时,使用removeHTMLTag函数去除转义并移除HTML标签,生成缩略文字。对于文章详情页,可以直接使用escape2Html函数将转义字符转换为普通字符显示。内容安全是确保网站和应用程序安全的重要环节。
富文本编辑器生成的HTML标签,进行转义,然后写入数据库,防止脚本注入:
function htmlEncode(value){
return $('
}
从数据库拿出的转义后的HTML标签内容,先得去除转义,然后再去除HTML标签,是生成缩略文字。
/*移除HTML标签代码*/
function removeHTMLTag(str) {
str = str.replace(/]*>/g,''); //去除HTML tag
str = str.replace(/[ | ]*\n/g,'\n'); //去除行尾空白
//str = str.replace(/\n[\s| | ]*\r/g,'\n'); //去除多余空行
str=str.replace(/ /ig,'');//去掉
return str;
}
//转意符换成普通字符
function escape2Html(str) {
var arrEntities={'lt':'','nbsp':' ','amp':'&','quot':'"'};
return str.replace(/&(lt|gt|nbsp|amp|quot);/ig,function(all,t){return arrEntities[t];});
}
如果是文章详情页的话,直接去除转义就可以显示在页面了:
//转意符换成普通字符
function escape2Html(str) {
var arrEntities={'lt':'','nbsp':' ','amp':'&','quot':'"'};
return str.replace(/&(lt|gt|nbsp|amp|quot);/ig,function(all,t){return arrEntities[t];});
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
