Я создаю веб-сайт, и у меня есть раздел, где пользователь может вводить данные через форму. Ввод очищается с помощью этого:
str.replace(/[\x26\x0A<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})
После этого данные помещаются между <p> тегами. Так что-то вроде этого:
<p id="foo">Random message</p>
Достаточно ли хороша моя функция замены для предотвращения атаки XSS?