通过 Ajax 输入 “<script>alert(”hi“);</script>”时,使用 jQuery 防止布局中断
Preventing layout break using jQuery when entering "<script>alert("hi");</script>" via Ajax
我有一个带有加号图标的输入字段。单击加号图标时,输入的值将添加到输入字段上方。
实际上,我正在使用模板在输入字段上方添加内容。单击加号图标后,我用值替换相应的模式,并使用jQuery替换函数将内容放在输入字段上方。
如果任何黑客输入的值,例如"<script>alert("hi");</script>"
布局就会中断。
如何通过jQuery阻止这些类型的攻击?我知道可以进行服务器端验证。但是有什么方法可以通过jQuery/客户端验证来阻止这些攻击吗?
很简单。不要使用jQuery的.html()
,使用.text()
。
转义将自动发生,除了不使用错误的 API 函数外,您不需要做任何特殊的事情。
<div id="textDisplay"></div>
<input type="text" id="enteredText"> <button id="transferText">Click!</button>
和
$(function() {
$("#transferText").click(function () {
var userInput = $("#enteredText").val();
$("#textDisplay").text(userInput);
});
});
相关文章:
- LABjs错误:脚本总是使用.script()来执行加载的序列
- 使用 Apps Script API 的 Chrome 应用
- 使用图像而不是文本(script type=“text/javascript”)
- 使用script标记通过CSS文件在程序中包含JavaScript
- 如何在不使用windows.script.Notify()的情况下将多个参数从javascript传递到windowsp
- 有些人有任何关于如何使用Modified Java Script Value处理返回Json(url)的示例
- 通过文本字段中的输入值使用Java Script计算金额
- 使用script元素上的html data-*属性来配置引用的脚本文件
- 为什么我不得到“;NetworkError”;当我使用<script src=“;false _ ip”>
- 我们如何在 lift 中使用 net.liftweb.http.js.JsCmds.Script 对象
- Coffee Script 是否允许使用 Javascript 库
- Bootstrap.js可以在GAS(Google Apps Script)中使用
- 使用Google Apps Script创建“老式”邮件合并时出现问题
- 检测URl Bar点击事件或用户使用Jquery/java-script在浏览器地址栏中键入
- 使用Apple Script选择带有*浏览器事件*的Safari下拉菜单
- 如何使用<c: 对于每个>在JSP页面上的script标记中
- 使用Java Script获取最新的2条粗花呢
- 可以& lt; script> . . & lt; / script>使用jquery编辑标签
- 刮& lt; script>使用简单的HTML Dom解析器标记某些关键字
- PHP / HTML / JavaScript: & lt; script>使用echo异步调用时不工作