在ExtJs的CellEditing插件中,如果我们放置安全字符串,则它将执行
在ExtJs的(ExtJs 3.1)CellEditing插件中,如果我们在任何单元格中放置诸如><img src=0 onerror=alert(99)>之类的安全字符串,那么它将执行(将显示警告)。我们可以使用任何beforeEdit或Validateedit或edit事件来阻止这种情况吗?
2 个答案:
答案 0 :(得分:0)
您需要阻止输入中脚本的执行。为此,您需要清理输入单元格中的内容。您可以验证按键事件或更改事件的编辑。但是,如果在更改事件中使用此函数,那么即使在初始加载时也会触发它。 您可以使用正则表达式来查找脚本标签,一旦找到该标签,便会提醒用户或重置输入字段的值。
答案 1 :(得分:0)
您可以在网格中的每个可编辑列上附加一个renderer函数,该函数使用Ext.htmlEncode对值进行编码。这样可以防止对注入的html进行评估,而是将其显示为文本。
来自Ext.htmlEncode function in the ExtJs docs:
将某些字符(&,<,>,'和“)转换为它们的HTML字符等效项,以便在网页中按原样显示。
以下代码段将网格渲染到名称栏为可编辑的页面。
呈现器htmlEncode的值和输入的html显示为文本。
参见working Fiddle。
Ext.create('Ext.grid.Panel', {
store: Ext.data.StoreManager.lookup('simpsonsStore'),
columns: [
{
header: 'Name',
dataIndex: 'name',
editor: 'textfield',
renderer: function (value, metaData) {
return Ext.htmlEncode(value);
}
},
plugins: {
cellediting: {
clicksToEdit: 1
}
},
height: 200,
width: 400,
renderTo: Ext.getBody()
});
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?