javascript – 我必须在“script”元素中逃避什么?

前端之家收集整理的这篇文章主要介绍了javascript – 我必须在“script”元素中逃避什么?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我必须在 HTML页面的脚本元素中转义 JavaScript代码的哪些部分?是&&足够还是太多?

[编辑]这与这个bug有关:http://code.google.com/p/rendersnake/issues/detail?id=15#c6评论#6

解决方法

在HTML(和XHTML,如果你是一个 evil person,发送你的XHTML页面作为文本/ html),脚本标签是#CDATA,因此你唯一不应该在内容是< / script>因为这是解析器寻找代表标签结尾的一切.不要逃避任何东西只要确保你没有< / script>在标签内容.例如,如果您有一个带有关闭脚本标记的字符串,请将其拆分:
var a = '</scr' + 'ipt>';@H_404_9@ 
 

在XHTML中,作为application / xhtml xml发送,脚本标签是#PCDATA,因此,和&是必要的,除非你可以使用<![CDATA [...]]>阻止更改为#CDATA解析模式,但在这种情况下,请记住,您不能拥有]]>在您的标签内容.

原文链接:https://www.f2er.com/js/153550.html

猜你在找的JavaScript相关文章