我在后端使用了escapeHTML4函数来添加转义字符来阻止XSS攻击。但我已被指定要求它应该显示给用户。
基本上要求用户应该看到用户输入的内容,即使它可能是攻击脚本。
有没有办法可以做到?
例如,用户输入"'>"> img src = x onerror = alert(1)>'
我需要准确显示'>"> img src = x onerror = alert(1)>' 。我认为只有可能的方法是在javascript中做一些事情。但我无法找到任何能够将escaptHTML输出的输出转换回原始输出的函数。