Question

В нашей команде нам пришла в голову мысль, что мы должны провести санацию строк перед добавлением в DOM. Мы ожидали, что, по крайней мере, двойные кавычки будут проблематичными, если их использовать в setAttribute, и <и>, если они будут добавлены к содержимому узла.

Первые тесты показали что-то другое. Мы используем innerHTML для установки содержимого узлов. Это позволяет избежать всех небезопасных персонажей. Но даже setAttribute экранирует <и>

Так всегда ли это так, потому что я ничего не смог найти в гугле? Я не знаю, есть ли какие-нибудь браузеры, которые потерпят неудачу.

Quentin · Answer 1 · 20 мая 2009

innerHTML редактирует HTML-код внутри элемента и генерирует из него узлы DOM - вам нужно писать HTML в соответствии с обычными правилами (например, вы не можете использовать символ <, если за ним не следует символ без имени). Браузеры выполнят свое обычное восстановление после ошибок. </p>

Я не понимаю, почему ваш опыт использования innerHTML отличается от этого.

createTextNode, setAttribute и т. Д. Редактируют DOM напрямую. HTML не участвует, поэтому вам не нужно иметь дело с символами, которые имеют особое значение в HTML.

Нужно ли выполнять санацию строк перед добавлением в DOM?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нужно ли выполнять санацию строк перед добавлением в DOM?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов