我正在创建一个网站,并且我有一个部分,用户可以在其中通过表格提供输入。使用以下命令清除输入:
str.replace(/[\x26\x0A<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
之后,数据被放置在<p>标签之间。所以像这样:
<p id="foo">Random message</p>
我的替换功能是否足以防止XSS攻击?
这基本上是Can I escape html special chars in javascript?的副本。是的,您的代码可能是安全的,其作用与那里接受的答案相同。