मेरे एचटीएमएल 5 एप्लिकेशन का एक उपयोगकर्ता अपना नाम किसी फॉर्म में दर्ज कर सकता है, और यह नाम कहीं और प्रदर्शित किया जाएगा। अधिक विशेष रूप से, यह कुछ HTML तत्वों के innerHTML
बन जाएगा।दोजो टूलकिट: एचटीएमएल स्ट्रिंग से कैसे बचें?
समस्या यह है कि यदि कोई फॉर्म में वैध HTML मार्कअप दर्ज करता है, तो इसका उपयोग किया जा सकता है, यानी कुछ प्रकार के HTML इंजेक्शन, यदि आप करेंगे।
उपयोगकर्ता का नाम केवल क्लाइंट पक्ष पर संग्रहीत और प्रदर्शित होता है, अंत में उपयोगकर्ता स्वयं ही प्रभावित होता है, लेकिन यह अभी भी मैला है।
क्या डोजो में innerHTML
तत्वों में इसे रखने से पहले स्ट्रिंग से बचने का कोई तरीका है? मुझे लगता है कि एक बिंदु पर डोजो ने वास्तव में ऐसा फ़ंक्शन किया था (dojo.string.escape()
) लेकिन यह संस्करण 1.7 में मौजूद नहीं है।
धन्यवाद।
एक आकर्षण की तरह काम करता है और मुझे पहिया को फिर से शुरू करने की आवश्यकता नहीं है। धन्यवाद! –