如何解决如何防止在输入字段中输入代码执行内联js和脚本标签
我正在制作一个博客网站。输入字段接受 html 以及 markdown。我的问题是如何防止内容创建者注入恶意代码(HTML 中不包含 <pre>
和 <code>
以及 Markdown 中的反引号之间的代码。)
我无法通过添加过滤来阻止 html 包含在博客中,因为可能需要将代码片段呈现为反引号之间的示例。
我尝试检查 stackoverflow 是如何阻止它的。预览块只是用 pre 和 code 块将反引号括起来。
我尝试像这样关闭前置和代码,然后添加我的脚本。
</pre></code><script type="application/javascript">alert(1);</script>
它仍然没有被执行是怎么回事(在 stackoverflow 上)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。