有没有人知道在jQuery中从字符串中转义HTML的简单方法?我需要能够传递任意字符串并将其正确转义以便在HTML页面中显示(防止JavaScript/HTML注入攻击).我确信可以扩展jQuery来实现这一点,但我目前还不了解框架来完成这个任务.
我正在用React制作电视指南.我从这个api中提取显示信息:http://api.tvmaze.com/episodes/333
正如你可以看到summary包含html.如果我渲染该字段,那么HTML将被解释为字符串,这意味着您可以<p>在页面上看到标记等.
我知道这是出于安全原因而做的,我可以使用dangerouslySetInnerHTML但不鼓励,所以最佳做法是什么?从API获取格式化文本并且需要渲染它必须相当普遍.我很惊讶没有一个过滤器允许<p> <h1>等但不是脚本标签.
我正在浏览所有基于 DOM 的 XSS 预防的 OWASP 规则,并试图全面了解每条规则。我对这个规则有点坚持:
“规则 #2 - 在执行上下文中将不受信任的数据插入 HTML 属性子上下文之前进行 JavaScript 转义”
看这里:
问题是我不确定前端“javascript转义”时该使用什么方法?我知道这不是一个很可能的用例,因为大多数前端开发人员通常会首先避免将不受信任的数据插入到 html 属性中,但尽管如此,我还是想通过准确理解该规则的含义来完全理解该规则的含义。逃生方法应该是。人们通常在前端使用一种简单的 JavaScript 转义方法吗?谢谢!
编辑:我在 stackoverflow 上找到的其他答案都提到了 html 转义器。我正在专门寻找一个 javascript 转义器,并且我想知道为什么 owasp 专门使用术语“javascript 转义器”,如果正如某些人建议的那样,html 转义器就足够了。
也许这个问题也可以表述为“在 OWASP 的基于 DOM 的 XSS 备忘单的上下文中,html 转义和 javascript 转义之间有什么区别?请给出 javascript 转义的示例。