我希望我的用户在UI字段中输入一个kendo模板,以便他们自定义网格单元格。因此,用户可以在UI上的输入字段中输入Hello #= name #,并且网格列将正确显示结果。
问题是用户可能会在模板中输入# alert('test') #并执行javascript。我在我的应用程序中使用ajax,恶意用户可以从模板中调用http。
是否可以避免在Kendo模板中执行javascript?
答案 0 :(得分:0)
除了清理输入外,你无法真正避免它。您可以在应用之前从模板中删除圆括号,这样至少可以没有函数调用,或者使用正则表达式从模板中删除所有# ... #。