我有一个js-function,它将字符串作为参数并将其显示在div元素中。这样的字符串可能包含html标签。
如何强制JS将div-elements中的内部文本显示为带有html-tags的html-text。此外,什么是过滤特定标签的适当方法,即应用某些标签进行样式设计,只打印其他标签。
答案 0 :(得分:3)
答案 1 :(得分:1)
而且,还有什么是过滤特定标签的适当方法,即应用某些标签进行样式设计并打印其他标签。
直接将用户插入的HTML代码置于XSS 危险。您应该使用一些工具来清理HTML代码(例如,在StackOverflow上,您可以使用一些HTML标记)。
正如在this question发布的那样,您可以使用此客户端清洁剂:http://code.google.com/p/google-caja/source/browse/trunk/src/com/google/caja/plugin/html-sanitizer.js 另一方面,您可能需要在服务器端执行此操作,这取决于您的环境(ASP.NET?PHP?)。