Người dùng ứng dụng HTML 5 của tôi có thể nhập tên của anh ấy vào một biểu mẫu và tên này sẽ được hiển thị ở nơi khác. Cụ thể hơn, nó sẽ trở thành innerHTML
của một số phần tử HTML.Bộ công cụ Dojo: cách thoát chuỗi HTML?
Vấn đề là điều này có thể được khai thác nếu người dùng nhập đánh dấu HTML hợp lệ trong biểu mẫu, nghĩa là một số loại tiêm HTML, nếu bạn muốn.
Tên của người dùng chỉ được lưu trữ và hiển thị ở phía máy khách để cuối cùng người dùng là người duy nhất bị ảnh hưởng, nhưng nó vẫn còn cẩu thả.
Có cách nào để thoát chuỗi trước khi tôi đặt nó trong một thành phần innerHTML
trong Dojo không? Tôi đoán rằng Dojo tại một điểm trên thực tế có chức năng như vậy (dojo.string.escape()
) nhưng nó không tồn tại trong phiên bản 1.7.
Cảm ơn.
Làm việc như một sự quyến rũ và tôi không phải phát minh lại bánh xe. Cảm ơn! –