Пользователь моего приложения HTML 5 может ввести свое имя в форме, и это имя будет отображаться в другом месте. Более конкретно, он станет innerHTML
некоторого HTML-элемента.
Проблема в том, что это может быть использовано, если вы введете допустимую HTML-разметку в форме, то есть какую-нибудь HTML-инъекцию, если хотите.
Имя пользователя сохраняется и отображается только на стороне клиента, поэтому в конечном итоге сам пользователь является единственным, кто затронут, но он все еще неаккуратен.
Есть ли способ избежать строки перед тем, как поместить ее в элементы innerHTML
в Dojo? Я полагаю, что Dojo в какой-то момент действительно имел такую функцию (dojo.string.escape()
), но ее нет в версии 1.7.
Спасибо.