我正在编写一个应用程序,它接受淘汰/ jquery移动应用程序的表单帖子,以后用户可以下载已发布的数据并查看表单上填写的内容。
用户可能会在输入中放置html或脚本标记。现在看来,当数据被放下并放回到表单中时,输入中会显示任何html标签或脚本,一切都很好。甚至具有html的标签似乎也正确转义,并且实际上并不显示为html。
但如果用户在
等表单输入中输入一些html,我怎么能确定<h1>Show This</h1>
当它稍后显示在表单中时,它实际上并没有弄乱表单的显示或运行脚本标记或其他东西。
Web Api或Knockout是否提供任何类型的自动编码,其中大部分内容都是为了防止出现这种情况?
答案 0 :(得分:1)
Knockout中的text绑定将通过创建文本节点并使用值填充它来转义该值。
另一方面,html绑定不会执行此类转义,并且可能会执行代码,因此您不希望将其用于用户输入的输入。