防止js代码注入攻击

方法

利用正则，禁止除字母、数字、汉字其他的特殊字符。虽然可以解决但是这样影响了用户体现。

还可以利用转义。

什么是转义

说到这就不得不说一下什么是转义。

html转义是将特殊字符或html标签转换为与之对应的字符。如：< 会转义为 <> 或转义为 >像“"<“script>alert(‘test’);”这段字符会转义为：“"<“script>alert(‘test’);”再显示时页面会将<解析为<,>解析为>,从而还原了用户的真实输入,最终显示在页面上 的还是“”<“script>alert(‘test’);"”，即避免了js注入攻击又真实的显示了用户输入。

[来源于]https://www.jb51.net/article/99047.htm

转义使用

function innerhtml(sl) {
    sl = sl.replace(/(\n)/g,"");
    sl = sl.replace(/(\t)/g,"");
    sl = sl.replace(/(\r)/g,"");
    sl = sl.replace(/<\/p[^>]*>/g,"");
    sl = sl.replace(/\s*/g,"");
    sl = sl.replace(/<[^>]*>/g,"");
    return sl;
}