テキスト フィールドへの入力に HTML および JavaScript コードが含まれないようにするにはどうすればよいですか?
例: 入力テキスト フィールドがあります。ユーザーが JavaScript 命令を入力すると、それらが実行されます。
どうすれば変更できますか
<script>alert('aces')</script>
リストしようとしたときにアラートとしてではなく、フィールドに通常のテキストとして表示されるようにするには?
1 に答える
0
underscore.js (Backbone.js で使用) などのライブラリを調べましたか?
ユーザーが入力したJavaScriptを実行できないようにするエスケープ機能が付属しています。 http://underscorejs.org/#escapeおよびhttp://underscorejs.org/#unescape
したがって、次のように記述します。
alert(_.escape(USERINPUT));
セキュリティ上の理由から、入力をエスケープする必要がある (または < strong > のような無害なタグの選択のみを許可する) 必要があるため、ユーザー入力を DOM に追加する場合、これはさらに重要になります。
于 2013-08-09T20:46:28.513 に答える