English 我在下拉式网页上有一个下拉菜单,当值字符串包含引号时,该网页中断。
值为"asd,但在DOM中,它始终显示为空字符串。
我已经尽一切努力设法正确地对字符串进行转义,但无济于事。
<option value=""asd">test</option>
<option value="\"asd">test</option>
<option value=""asd">test</option>
<option value=""asd">test</option>
如何在页面上呈现此内容,以便回发消息包含正确的值?
如果您使用的是Javascript和Lodash,则可以使用_.escape(),以转义“,”,<,>和&。
看到这里:https : //lodash.com/docs/#escape
您实际上只应将不受信任的数据放入具有良好属性的白名单中,例如:align,alink,alt,bgcolor,border,cellpadding,cellspacing,class,color,cols,colspan,coords,dir,face,height,hspace,ismap,lang ,marginheight,marginwidth,多个,nohref,noresize,noshade,nowrap,ref,rel,rev,行,rowpan,滚动,形状,跨度,摘要,tabindex,标题,usemap,valign,值,vlink,vspace,宽度
您确实想将不受信任的数据以及javascript或id或name属性(它们可能破坏DOM中的其他元素)排除在JavaScript处理程序之外。
另外,如果将不受信任的数据放入SRC或HREF属性中,那么它实际上是不受信任的URL,因此您应该验证URL,确保其不是javascript:URL,然后进行HTML实体编码。
有关此处所有内容的更多详细信息,请访问:https : //www.owasp.org/index.php/Abridged_XSS_Prevention_Cheat_Sheet
如果您使用的是PHP,请尝试调用htmlentities或htmlspecialchars函数。
没有办法在输入文本的值中转义引号...但是您可以使用javascript(或jquery):