代码之家  ›  专栏  ›  技术社区  ›  Morgan Cheng

是否所有浏览器引擎都将“\<”视为“<”、“\>”视为“>”?

escaping browser html javascript
  •  1
  • Morgan Cheng  · 技术社区  · 16 年前 

    <script>
   var foo = "</script><script>alert('bug');</script><script>"; // the value of foo is generated from server
</script>

    foo的字符串值是从服务器端生成的。因此,我们计划将“<”改为“\<”,“>”改为“>”。(我知道有人认为“>”应该转义到“>”,但在这种情况下不考虑这一点。)

    因此,预期结果是: 

    <script>
   var foo = "\</script\>\<script\>alert('bug');\</script\>\<script\>"; // the value of foo is generated from server
</script>

    对于IE7/8和Firefox,HTML呈现引擎不会处理 \<脚本\> <脚本> 标记,JavaScript引擎仍将其作为字符串“<script>”。但是,我不确定是否所有浏览器都这样对待“>”和“\<”。这是所有浏览器的标准吗?

    1 回复  |  直到 16 年前
        1
  •  5
  •   Justin Niessner    16 年前

    不,最好分别对大于号和小于号使用>和<。 

    var foo = "&lt;/script&gt;&lt;script&gt;alert('bug');&lt;/script&gt;&lt;script&gt;";
    推荐文章
    code-geek  ·  Jquery根据单选按钮选择隐藏或显示文本字段
    4 月前
    Niobos  ·  如何/是否有方法使通用算法函数同时与同步和异步函数一起工作?
    4 月前
    Alex  ·  在轻量级中同时解构和不解构变量
    4 月前
    Ângelo Rigo  ·  ReactJS映射:如何迭代[关闭]
    4 月前
    bairog  ·  从按属性筛选的对象数组字典中创建值数组
    4 月前
    KaiMcKiernan  ·  基于Math.random()的函数在另一个函数内不起作用[关闭]
    4 月前
    David Jeong  ·  浏览器不会为浏览器自动添加的某些标头发送CORS预检请求吗?
    4 月前
    user29519291  ·  为不同的变量创建一个带有可重用Click函数的简单菜单
    5 月前
    user3472810  ·  Angular@Output/EventEmitter返回undefined
    5 月前
    lokiuucx  ·  JS对象属性返回未定义,尽管对象属性应该有值
    5 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号