Могу ли я предоставить HTML для заполнения div с помощью jQuery?

Question

В моей модели есть поле, содержащее статический HTML (например, <br />).

При попытке заполнить div с помощью jQuery, используя $('#myField').html(fieldval), браузер выдает и выдает ошибку, что получил неверный или неожиданный токен.Можно ли использовать jQuery для заполнения div содержимым html?

$('#myDiv').html(@Html.Raw(modelvalue));
$('#myDiv').html(modelvalue);

Answer 1

Вы должны быть осторожны, чтобы предотвратить xss при вводе html на страницу.

Тем не менее, к тому, что вы спрашиваете, не забудьте процитировать значение модели, как ожидает jQuery.строка.Это будет работать.

$('#myDiv').html('@(new HtmlString(modelvalue))');

Однако вы не должны.

Вместо вставки необработанного HTML вы должны использовать либо библиотеку редактирования WYSIWYG, либо белый список, принятый пользователем от html.Если он не основан на пользователях, вы должны создать отдельное представление с его собственной структурой html, а затем заполнить его очищенными значениями;и затем вставьте это представление вместо необработанной строки.

Если это так, вы каким-то образом записываете в поток ответа напрямую, и полученная строка равна продезинфицировать, тогда вы, вероятно, не задали бы этот довольно простой вопрос, поэтому я исключаю это.