做jQuery的val()和prop()方法html-escape值?

前端之家收集整理的这篇文章主要介绍了做jQuery的val()和prop()方法html-escape值?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
关于 val()prop()的文档中没有找到任何东西,并且转义。

当用作设定者时,它们是否旨在逃避价值?

解决方法

不是真的。 .val()用于设置表单字段的value属性,因此在这里不需要转义。您将通过DOM设置值,因此不像您通过字符串连接构建HTML。另一方面,.prop()甚至不会与DOM属性进行交互 – 只是DOM属性,所以你不需要处理HTML转义它们。

编辑:为了澄清,我假设你问这个是因为你担心.prop()或.val()作为一个XSS攻击向量(或者只是一个机会,让自己在脚下) ?如果是这种情况,您需要记住,通过DOM设置属性属性时,您设置的值基本上会与您正在交互的属性或值进行沙盒化。例如,给出以下内容

<div id="foo"></div>

而您尝试滥用属性值,例如:

$('#foo').attr('rel','"></div><script>alert("bang");</script><div rel="');

您可能会担心这会导致如下所示:

<div id="foo" rel=""></div><script>alert("bang");</script><div rel=""></div>

这不会发生。您确实会有一个具有恶意字符串的rel属性作为其值,但不会创建新的标记或DOM节点。字符串本身没有被转义 – 它只是不被解释为标记。这只是一个字符串,就是这样。

猜你在找的jQuery相关文章