页面输出时用 js 转义替换字符串中的 script 标签,防止 XSS

  function stringEncode(str){
      var div=document.createElement('div');
      if(div.innerText){
          div.innerText=str;
      }else{
          div.textContent=str;
      }
      return div.innerHTML;
  }

tblStr = tblStr.replace(/<script>/gi, stringEncode("<script>"));
// 替换字符串变量或者结束标签这样写
tblStr = tblStr.replace(new RegExp("</script>",'gi'), stringEncode("</script>"));
$('#search-result').append(tblStr);

其中g表示全文替换,i表示忽略大小写;

AD:水囊

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 计算机专业英语
    这个不错分享给大家,从扣上看到的,就转过来了 《电脑专业英语》 file [fail] n. 文件;v. 保存文...
    麦子先生R阅读 6,679评论 5 24
  • 抒春(二)
    碧池春水鱼戏嬉,柔风拂过泛涟漪。 桃花烂漫饰春姿,纵览美景解忧思。
    文采乐阅读 209评论 4 10