Question

Если я предварительно экранирую строку заголовка 'cats & dogs' для установки с JavaScript, выполняя document.title='cats & dogs';, я получу именно это в заголовке, а 'cats &amp; dogs' в Html.

Очевидно, что правильным будет передать неэкранированную строку в document.title, но я хочу быть уверенным и спросить, надежно ли это и безопасно во всех браузерах, и ни один браузер никогда не установит что-то вроде <script> неэкранированный.

Steven Lambert · Answer 1 · 26 апреля 2020

HTML spe c для document.title говорит о необходимости использования строки, заменяющей все при установке значения. Это означает, что он создает узел Text и устанавливает содержимое в качестве желаемого значения. Поскольку узлы Text не могут содержать HTML, вы должны быть в безопасности во всех браузерах.

document.title экранирует Html, это стандарт и solid во всех браузерах?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

document.title экранирует Html, это стандарт и solid во всех браузерах?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы