代码之家  ›  专栏  ›  技术社区  ›  SSpoke

没有HTML的jquery append?

xss append jquery
  •  3
  • SSpoke  · 技术社区  · 14 年前

    您好,我使用jquery的.append()函数存在XSS漏洞

    我要做的是附加来自用户的原始聊天信息,我不想去掉服务器端或客户端的HTML标签,我只想显示它们。然而jquery的.append()方法呈现HTML标记。

    是否仍要执行AppendText()?我尝试了.text(),但它不能正确生成正确的HTML。

    我现在用。 

      var li = $('<div></div>').addClass('chatmsg');
  var al = $('<span></span>').addClass(chatClass).text("You");
  li.append(al);
  li.append(" " + msg);
  $('.chat').append(li);

    如何修复li.append(“”+msg);

    行忽略呈现HTML谢谢,没有任何高级的像正则表达式之类的。

    谢谢

    2 回复  |  直到 14 年前
        1
  •  7
  •   Nick Craver    14 年前

    您可以稍微更改一下,如下所示: 

    var li = $('<div />', { text: ' ' + msg, 'class': 'chatmsg' });
var al = $('<span />', { text: 'You', 'class': chatClass });
li.prepend(al);
$('.chat').append(li);

    这是电话 .text() 在封面下,对可能在 msg .

        2
  •  3
  •   Fabian    14 年前

    您可以使用以下功能: 

    function htmlEncode(value){ 
  return $('<div/>').text(value).html(); 
}

    所以你的代码变成: 

      var li = $('<div></div>').addClass('chatmsg');
  var al = $('<span></span>').addClass(chatClass).text("You");
  li.append(al);
  li.append(" " + htmlEncode(msg));
  $('.chat').append(li);
    推荐文章
    Kevin Cheng  ·  在CKEditor 4的源代码模式下,如何禁用预览按钮?
    7 年前
    EZDM  ·  避免在上使用XSS。使用JQUERY获取JSON
    7 年前
    Agent Smith  ·  如何使用ZF2防止XSS?
    7 年前
    rmeertens  ·  XSS攻击:更改Spring Boot Crudepository中引发的异常?
    7 年前
    Nikolai  ·  php中的XSS黑名单
    8 年前
    Lamcee  ·  如何在img标签的onerror属性上发送http请求?
    8 年前
    pinkpanther  ·  仅仅对XSS进行编码(而不是转义)是错误的吗?
    8 年前
    5argon  ·  谷歌翻译网站如何在不受跨站点脚本约束的情况下修改网页?
    8 年前
    vivek  ·  我们所说的上下文自动转义是什么意思?
    8 年前
    user2143356  ·  这是否易受XSS攻击?
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号