是否足以避免javascript注入以这种方式验证输入数据:
xssValidate = function(value) {
var container = $("<u></u>").text(value);
if($(container).html() != value) return mc.ERROR_INVALID_FORMAT;
}
我已经设法使用上面的代码验证所有文本字段和textareas值,然后再将它们提交给服务器.