在此记录XSS的相关知识
XSS的详细介绍可以查看 XSS跨站脚本攻击与防御
// 对用户输入的内容进行转码
/*1.用浏览器内部转换器实现html转码*/
export function htmlEncode (html){
// 1.首先动态创建一个容器标签元素,如DIV
let temp = document.createElement ("div");
// 2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
(temp.textContent !== undefined ) ? (temp.textContent = html) : (temp.innerText = html);
// 3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
const output = temp.innerHTML;
temp = null;
return output;
}
/*2.用浏览器内部转换器实现html解码*/
export function htmlDecode (text){
// 1.首先动态创建一个容器标签元素,如DIV
let temp = document.createElement("div");
// 2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
temp.innerHTML = text;
// 3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
const output = temp.innerText || temp.textContent;
temp = null;
return output;
}
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。