gpt4 book ai didi

javascript - 从服务器向客户端发送 JSON 格式的 HTML 时,我应该转义内容吗?

转载 作者:行者123 更新时间:2023-11-28 03:55:40 25 4
gpt4 key购买 nike

我需要将 HTML 内容从服务器发送到客户端以便显示它们(用户可以以 HTML 格式发表评论,其他人可以查看这些评论)。我的客户端是富 JS 应用程序,它通过 JSON API 与服务器通信。

我的问题是如果我返回这样的回复:

{
commentId: '123',
authorId: '123',
comment: 'possible HTML here'
}

我应该转义服务器上 comment 字段中的内容并将转义后的内容发送给客户端,还是应该发送原始 HTML 并让客户端在需要时负责转义?常见的做法是什么?

同时为了显示 HTML,我应该以某种方式对其进行清理(例如删除脚本标签等)吗?

最佳答案

没有通用的做法,例如,如果用户提交了一些带有脚本标签的 HTML,您可以在用例如 http://htmlpurifier.org/ 对其进行清理后将所有内容保存在数据库中。库,它允许您指定要剥离哪些标签要保留...

或者您可以按原样保存提交的 HTML,并在客户端使用例如 https://code.google.com/p/google-caja/wiki/JsHtmlSanitizer 对其进行清理( https://code.google.com/p/google-caja/source/browse/trunk/src/com/google/caja/plugin/html-sanitizer.js?r=5170 ) 与 HTMLPurifier 做几乎相同的事情,但在客户端

清理 HTML 是 cpu 密集型任务,所以在第一种情况下你将使用服务器的 cpu,在第二种情况下你将使用用户的

你选择

关于javascript - 从服务器向客户端发送 JSON 格式的 HTML 时,我应该转义内容吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18631157/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com