之前写的利用模版做的控制:利用 ejs 模版防注入攻击
后面改造了的框架没有用模版html去加载 dom 树,而是利用Json驱动,所以要自己写防注入攻击,当然简单控制就是在 text 组件的setValue\getValue 或者对标的 setText\getText 去做相应的转义,当然如果是自定义的组件或者人家压根不用你的组件,而是利用 jQuery 去做 find 操作后的取值赋值,那就得自己处理了。简单的处理方式可以这样:
htmlEncode: function ( val ) {
//数据处理
return $('<span/>').text( val ).html();
}
htmlDecode : function( val ) {
//数据处理
return $('<span/>').html( val ).text();
}
//调用的时候自己去做控制
