Задать вопрос
noder_ss
@noder_ss
Линуксоид-энтузиаст и SQL разработчик

Как превратить HTML вместе с тегами в строку?

Хочу защитить сайт от XSS атак, на данные момент если в форме писать теги либо стили, они принимаються, тем самым ломается сайт и можно вставить туда текст хоть font-size: 50px:
6420997c50e4a463773682.png
вместо
6420999650836210877796.png
Как выводить их строкой, а не html кодом?
Данные, которые получаю и отправляю обернул в String(), но не помогло
  • Вопрос задан
  • 219 просмотров
Подписаться 1 Простой 1 комментарий
Решения вопроса 1
@ivolkoff
во входящей строке надо заменить спец символы на коды, например так

function escapeHtml(text) {
  return text
      .replace(/&/g, "&")
      .replace(/</g, "&lt;")
      .replace(/>/g, "&gt;")
      .replace(/"/g, "&quot;")
      .replace(/'/g, "&#039;");
}
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
vovka3003
@vovka3003
Фрилансер. Инженер систем безопасности.
htmlspecialchars
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы