做jQuery的val()和prop()方法html-escape值?

关于 val()prop()的文档中没有找到任何东西,并且转义。

当用作设定者时,它们是否旨在逃避价值?

解决方法

不是真的。 .val()用于设置表单字段的value属性,因此在这里不需要转义。您将通过DOM设置值,因此不像您通过字符串连接构建HTML。另一方面,.prop()甚至不会与DOM属性进行交互 – 只是DOM属性,所以你不需要处理HTML转义它们。

编辑:为了澄清,我假设你问这个是因为你担心.prop()或.val()作为一个XSS攻击向量(或者只是一个机会,让自己在脚下) ?如果是这种情况,您需要记住,通过DOM设置属性属性时,您设置的值基本上会与您正在交互的属性或值进行沙盒化。例如,给出以下内容

<div id="foo"></div>

而您尝试滥用属性值,例如:

$('#foo').attr('rel','"></div><script>alert("bang");</script><div rel="');

您可能会担心这会导致如下所示:

<div id="foo" rel=""></div><script>alert("bang");</script><div rel=""></div>

这不会发生。您确实会有一个具有恶意字符串的rel属性作为其值,但不会创建新的标记或DOM节点。字符串本身没有被转义 – 它只是不被解释为标记。这只是一个字符串,就是这样。

相关文章

页面搜索关键词突出 // 页面搜索关键词突出 $(function () {...
jQuery实时显示日期、时间 html: &lt;span id=&quot...
jQuery 添加水印 &lt;script src=&quot;../../../.....
中文:Sys.WebForms.PageRequestManagerParserErrorExceptio...
1. 用Response.Write方法 代码如下: Response.Write(&q...
Jquery实现按钮点击遮罩加载,处理完后恢复 思路: 1.点击按...