我有一个HTML标签<textarea>$FOO</textarea>,$FOO变量将填充任意HTML和JavaScript内容,以便在textarea中显示和编辑.什么样的"逃避"我要申请$ FOO?
我首先想要逃避HTML,但这不起作用(因为我将显示不是$ FOO的原始HTML代码,而是转义的内容.这当然不是我想要的:我希望显示未转义的HTML/JS变量的内容......
是否无法在<textarea>标记中显示HTML内容并允许其作为完整HTML进行编辑?
谢谢jens
bob*_*nce 22
我首先想要逃避HTML
恩,那就对了.a <textarea>的内容与a <span>或a之类的任何其他元素的内容没有区别<p>:如果你想在其中放入一些文本,你必须将HTML中的任何一个<或&字符分别转义为<和&.
浏览器确实倾向于在<textarea>s中给出更多的故障标记余地,因为无效的非转义<符号的后备是将它们呈现为文本而不是标记,但这并不会使它更加错误或危险(对于XSS).
但这没用
请发布您所做的不起作用的内容.HTML转义绝对是正确的.