大部分的网站都提供有评论模块以供用户发表自己的观点,但是如何防止用户输入有恶意攻击js脚本呢?比如<script>alert('恶意弹窗')</script>。
第一种方法很简单,使用<xmp></xmp>标签,xmp的标签,会把包含在内部的html语句当作普通的字符串输出,浏览器不会对其中的html标签解释。
第二种方法,将用户提交的内容进行处理,如果提交内容中含有标签<>则将其替换为转义字符,将 < 替换为 < >替换为 >即可。
大部分的网站都提供有评论模块以供用户发表自己的观点,但是如何防止用户输入有恶意攻击js脚本呢?比如<script>alert('恶意弹窗')</script>。
第一种方法很简单,使用<xmp></xmp>标签,xmp的标签,会把包含在内部的html语句当作普通的字符串输出,浏览器不会对其中的html标签解释。
第二种方法,将用户提交的内容进行处理,如果提交内容中含有标签<>则将其替换为转义字符,将 < 替换为 < >替换为 >即可。