最近发现公司做的网站的留言板存在很大的漏洞,就是输入HTML代码和Javascript代码都会反映在网页上。看到他们用的都是innerHTML来直接赋值的。
而我想到的做法是将代码过滤一下,输入的特殊字符都会转换成转义字符输出,这样遇到“<”字符是直接输出,像百度的留言就是这样做的。
请问各位大虾分别是怎样做的,哪种办法是最好的?请贴出代码!
而我想到的做法是将代码过滤一下,输入的特殊字符都会转换成转义字符输出,这样遇到“<”字符是直接输出,像百度的留言就是这样做的。
请问各位大虾分别是怎样做的,哪种办法是最好的?请贴出代码!
{
var str ;
str = html.replace('<','<');
//其他同 如> & 等
return str ;
}