javascript - 确保用户没有在代码中放入恶意 html

Question

我正在使用文本区域获取用户的输入并将其显示在屏幕上。我怎样才能确保如果他们输入类似

的内容

<h1>YAY, I hacked in</h1>

我只按原样显示，并没有显示为 <h1> .必须有一个功能。帮助？ :D

Answer 1

正如我所说，如果您要将该数据发送到服务器，您应该使用各种可用的 XML 解析器 之一并剥离 + 验证输入。

但是，如果您只需要在客户端进行验证，我建议您使用 document.implementation.createHTMLDocument，它会在堆栈上创建一个完全成熟的 DOM 对象。然后您可以在那里进行操作并返回您经过验证的数据。

例子:

function validate( input ) {
    var doc   = document.implementation.createHTMLDocument( "validate" );

    doc.body.innerHTML = input;

    return [].map.call( doc.body.querySelectorAll( '*' ), function( node ) {
        return node.textContent;
    }).join('') || doc.body.textContent;
}

这样称呼

validate( "<script>EVIL!</script>" );