爲什麼jQuery的.VAL（）不編碼&到＆

Question

<input type="text" id="search" value=" &amp; "> 

當加載頁面輸入將顯示&（這是很好）

但是，如果我使用jQuery來更新我的輸入值，可以說：

$("#search").val(" & ");輸入會告訴我&（但我想說明&（但在後面仍然編碼爲&，像第一個例子））

什麼我在想念這裏？

Answer 1

你不能僅靠保護自己免受瀏覽器中有害的用戶編碼來保護自己免受XSS攻擊。即使沒有瀏覽器，我也可以向您發送有害請求。在存儲用戶數據或生成html時，您需要保護自己免受服務器端的XSS攻擊，具體取決於您的方法。

這是一個PHP函數，你可以保護自己免受此類攻擊：當它要保證生成的HTML是安全

public static function protectArrayAgainstXSS(&$arr) { 
    $changed = false; 
    foreach ($arr as $index => $a) { 
     if (is_array($a)) { 
      $changed = $changed || Common::protectArrayAgainstXSS($arr[$index]); 
     } else if ($a !== null) { 
      $changed = $changed || ($arr[$index] === strip_tags($a)); 
      $arr[$index] = strip_tags($a); 
     } 
    } 
    return !$changed; 
} 

您的代碼應該運行此。

至於你關於jQuery的問題：.val()不應該處理你想要的。如果你想編碼解碼的東西，你可以做這樣的事情：

function htmlEncode(value){ 
    //create a in-memory div, set it's inner text(which jQuery automatically encodes) 
    //then grab the encoded contents back out. The div never exists on the page. 
    return $('<div/>').text(value).html(); 
} 

function htmlDecode(value){ 
    return $('<div/>').html(value).text(); 
} 

function myVal(context, v) { 
    return v ? context.val(htmlEncode(v)) : htmlDecode(context.val()); 
} 

Source。

但是，只要你需要保護，你需要在服務器端有一個保護。您可以保護您的客戶端以及XSS輸入，但這是可選的。