如果使用的是XHTML,你将能够使用实体引用(
<,>,&),以逃避你想要的任何字符串
<script>。你不希望使用一个
<![CDATA[...]]>节,因为
]]>不能在CDATA节中表示序列“ ”,并且你必须将脚本更改为
express ]]>。
但是你可能没有使用XHTML。如果你使用的是常规HTML,则该
<script>标记的行为有点像XML中的CDATA部分,除了它有更多陷阱之外。它以结尾
</script>。也有奥秘的规则允许
<!-- document.write("<script>...</script>") -->(注释和<script>开始标记都必须同时存在
</script>才能通过)。HTML 5标记化和CDATA Escapes描述了HTML5编辑器为将来的浏览器采用的折衷方案
我认为外卖是,你必须避免
</script>在你的JSON发生,并且是安全的,你也应该避免
<script>,
<!--以及-->防止失控意见或脚本标记。我认为这是最简单的办法,以取代
<与u003c和
-->与
-->
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)