我使用查询$('#div').text(data)设置了等于某些用户输入数据的div。我的安全性是首先在服务器端传递处理的数据,返回htmlentities(data)等。我注意到,当显示输出时,实体不会被解码。如果我使用jquery html(data)来解码它们。
由于没有为text(data)中的数据呈现html,是否可以在不先使用htmlentities的情况下将任何内容传递给它?
此方案的正确安全设置是什么?我读到html(data)容易受到一些安全漏洞的影响,这就是我尝试text(data)的原因。