编辑:为了将来参考,我使用非xhtml内容类型定义
我正在使用Django创建一个网站,我正在尝试在我的页面中嵌入任意json数据以供客户端javascript代码使用.
让我们说我的json对象是{"foo": ""}.如果我直接嵌入,
"};
第一个关闭json对象.(另外,它会使站点容易受到XSS的攻击,因为这个json对象将被动态生成).
如果我使用django的HTML转义函数,结果输出是:
并且浏览器无法解释.还有一些神秘的规则允许(注释和才能通过).对于未来的浏览器所采用的HTML5编辑器中描述的妥协HTML 5标记化和CDATA逃逸
我认为外卖是,你必须避免在您的JSON发生,并且是安全的,你也应该避免.还有一些神秘的规则允许(注释和才能通过).对于未来的浏览器所采用的HTML5编辑器中描述的妥协HTML 5标记化和CDATA逃逸
我认为外卖是,你必须避免 你试过吗? 另外,我很惊讶在您的JSON发生,并且是安全的,你也应该避免
字符串中的嵌入式标记会破坏javascript.一开始无法相信它,但在Chrome和Firefox中测试过.
京公网安备 11010802040832号 | 京ICP备19059560号-6 