HTML 编码尖括号、&、换行符和引号足以防止 XSS 吗？

我正在创建一个网站，并且有一个部分，用户可以在其中通过表单提供输入。使用以下方法对输入进行清理：

str.replace(/[\x26\x0A<>'"]/g,function(r){return"&#"+r.charCodeAt(0)+";"})

之后，数据被放置在<p>标签之间。所以像这样：

<p id="foo">Random message</p>

我的替换函数是否足以防止 XSS 攻击？

慕田峪9158850

浏览 114回答 0

至尊宝的传说

这基本上是Can I escape htmlspecial chars in javascript?的重复。。是的，您的代码可能是安全的，它的作用与那里接受的答案相同。

随时随地看视频慕课网APP