使用jQuery消毒代碼注入

Question

我正在使用評論框並使用ajax將值插入到mysql。同時，我將輸入的評論與jQuery附加到同一頁面。問題是如果輸入的文本是一些JavaScript代碼，如

<script>alert('hello');</script> 

它顯示警報。在我的數據庫中，我清理了這些代碼，但是因爲我將它追加到客戶端，所以我需要顯示輸入的文本。

嗯，我使用，

<div contenteditable="true"></div> 

任何直接的幫助，好嗎？

Answer 1

下面的代碼片段HTML編碼字符串：

"<div>Here is an HTML</div" 


$("p").text("<div>Here is an HTML</div").html() 

Answer 2

我用這個方法！

str.replace(/</g, "&lt;"); 
str.replace(/>/g, "&gt;");