代码之家  ›  专栏  ›  技术社区  ›  Morgan Cheng

是否所有浏览器引擎都将“\<”视为“<”、“\>”视为“>”?

escaping browser html javascript
  •  1
  • Morgan Cheng  · 技术社区  · 16 年前 

    <script>
   var foo = "</script><script>alert('bug');</script><script>"; // the value of foo is generated from server
</script>

    foo的字符串值是从服务器端生成的。因此,我们计划将“<”改为“\<”,“>”改为“>”。(我知道有人认为“>”应该转义到“>”,但在这种情况下不考虑这一点。)

    因此,预期结果是: 

    <script>
   var foo = "\</script\>\<script\>alert('bug');\</script\>\<script\>"; // the value of foo is generated from server
</script>

    对于IE7/8和Firefox,HTML呈现引擎不会处理 \<脚本\> <脚本> 标记,JavaScript引擎仍将其作为字符串“<script>”。但是,我不确定是否所有浏览器都这样对待“>”和“\<”。这是所有浏览器的标准吗?

    1 回复  |  直到 16 年前
        1
  •  5
  •   Justin Niessner    16 年前

    不,最好分别对大于号和小于号使用>和<。 

    var foo = "&lt;/script&gt;&lt;script&gt;alert('bug');&lt;/script&gt;&lt;script&gt;";
    推荐文章
    DiscreteTom  ·  JavaScript structuredClone在Chrome/Edge中获得了“非法调用”,但在NodeJS中没有
    1 年前
    Ish Mahajan  ·  WebTransport的浏览器兼容性
    1 年前
    Lixin Wei  ·  为什么WebRTC可以在未经我许可的情况下获取我的本地IPv6地址?
    1 年前
    Václav Procházka  ·  动态创建获取和解析脚本的顺序
    1 年前
    jani  ·  检查安装了哪些浏览器,然后在其桌面上创建快捷方式
    1 年前
    Italy Zia  ·  我收到一个“拒绝执行来自的脚本”http://localhost:3000/js/dashboard/dashboard.js',因为其MIME类型('text/plain')不可执行
    1 年前
    kakakali  ·  为什么appendChild()会丢失一些子项?
    1 年前
    Djaro  ·  人们在我的标签上按下shift,但在另一个标签上释放它。如何防止Ctrl+Shift+Tab破坏我的“Shift_pressed”变量?
    1 年前
    StuartN  ·  使用默认搜索引擎的HTML搜索链接
    1 年前
    Vindicated  ·  如何访问当前未连接到的URL的本地存储?
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号