Предположим, у меня есть страница с полем ввода. Пользователь вводит что-то в поле ввода и нажимает кнопку. Кнопка запускает функцию, которая берет значение, введенное в текстовое поле, и выводит его на страницу под текстовым полем по любой причине.
Теперь было трудно найти окончательный ответ, или я не стал бы спрашивать, но как бы вы сделали вывод этой строки:
<script>alert("hello")</script> <h1> Hello World </h1>
Итак, не выполняется ни script, ни элемент HTML не отображается?
Я действительно спрашиваю, есть ли стандартный способ избежать как HTML, так и script инъекций в Javascript. Кажется, у каждого есть другой способ сделать это (я использую jQuery, поэтому я знаю, что могу просто выводить строку в текстовый элемент, а не в элемент html, например, это не так).