如何阻止文本字段中的输入包含HTML和JavaScript代码?
示例:我有一个输入文本字段。如果用户输入javascript指令,则会执行。
如何修改
<script>alert('aces')</script>
这样它会在我的字段中显示为普通文本,而不是在我尝试列出时显示为警告?
答案 0 :(得分:0)
你有没有看过像underscore.js这样的库(Backbone.js使用)?
它带有转义功能,可防止用户输入javascript运行。 http://underscorejs.org/#escape和http://underscorejs.org/#unescape
所以你会写:
警报(_逸出(USERINPUT));
当您向DOM添加用户输入时,这变得更加重要,出于安全原因,您需要转义输入(或仅允许选择无害的标记,例如&lt; strong&gt;)。