首页 新闻 会员 周边

Ajax的问题

0
悬赏园豆:10 [已关闭问题] 关闭于 2008-12-18 21:20

有一个评论模块,添加评论的时候使用AJAX,评论的内容用到了FCKeditor编辑器,点击提交,前台用JavaScript拼接HTML把内容加载评论列表的后面~~~,但是问题是如果,评论内容输入<script>alert("Boo")</script>时就在页面执行了JavaScript,有没有好 的办法呢?

MicroCoder的主页 MicroCoder | 小虾三级 | 园豆:554
提问于:2008-12-05 22:15
< >
分享
所有回答(6)
0

用函数过滤掉这些HTML标签

或者先编码进行解码出来

Astar | 园豆:40805 (高人七级) | 2008-12-05 22:52
0

方法一:把内容中的<全部转化成&lt;,其他字符转不转成行,这个转了基本就安全

方法二:使用InnerText追加内容而不使用InnerHTML(你可以需要先创建内容显示区域的元素)

丁学 | 园豆:18730 (专家六级) | 2008-12-06 07:45
0

学习...

Jared.Nie | 园豆:1940 (小虾三级) | 2008-12-06 10:22
0

将尖括号 转换 

InnerText 在ff中不支持吧

oec2003 | 园豆:945 (小虾三级) | 2008-12-06 13:51
0

可以在后台将 部分过滤掉。当然,如果不想执行任何html元素,可以将<和>都进行相应的替换。

银河使者 | 园豆:215 (菜鸟二级) | 2008-12-07 09:43
0

为了安全考虑,支持楼上提议用转换

XBW | 园豆:404 (菜鸟二级) | 2008-12-07 10:08
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册