在javascript中过滤转义的尖括号

Question

我有一个 javascript 功能，允许用户在页面上放置任意文本字符串。我不希望他们能够插入 html 或其他代码，而只是纯文本。

所以我认为去掉所有尖括号（< >）就可以了。 （我不在乎他们的页面上是否有“损坏”的 html，或者他们无法在文本中放入尖括号）然后我意识到我必须过滤转义的尖括号 (< >），可能还有其他。

为了安全起见，我需要过滤掉什么？删除所有尖括号就能解决问题吗？

Answer 1

删除所有尖括号就能解决问题吗？

只需将所有尖括号替换为其转义形式即可。这样，人们可以编写任意数量的“代码”，而它只是显示为纯文本。

Answer 2

确保您要做的第一件事是将 & 替换为 &

a) 对于 HTML 内容，只需 < 就足够了。

b) 对于属性值，例如，如果它在 中，则需要注意双引号，但那就是所有这些都是必要的。不过，同时执行 < 和 > 也很好。

这取决于上下文。如果您想安全起见，请告诉您的 JavaScript 使用不需要编码的 innerText，但您可能需要将 css 设置为 white-space:pre-wrap 。这不太容易出错，但浏览器兼容性也较差。

c) 松散相关的说明是，当使用反斜杠转义 JavaScript 字符串终止符时，如果您将内容放入脚本中，可能会偷偷摸摸地发现，您需要注意 （不区分大小写）您可以转义 或 / 就足够了