У меня есть HTML-ТЭГ <textarea>$FOO</textarea>
и $FOO
Переменная будет заполнена произвольным HTML и Содержанием JavaScript, чтобы быть отображенной и отредактированной в текстовой области. Какой "выход" делают меня neet для применения к $FOO?
Я сначала жесткий из выхода из него HTML, но это не работало (поскольку мне затем покажут не исходный HTML-код $FOO, а скорее завершенного содержания. Это, конечно, не, что я хочу: Я хочу быть отображенным незавершенное Содержание HTML/JS переменной...
Действительно ли невозможно отобразить содержимое HTML в a <textarea>
отметьте и также позвольте этому быть доступным для редактирования как полный HTML?
спасибо jens
Сначала я попытался избежать этого HTML
Да, верно. Содержимое
не отличается от содержимого любого другого элемента, такого как
или
: если вы хотите поместите текст внутрь, вы должны HTML-экранировать любые символы <
или &
в нем на <
и &
соответственно.
Браузеры, как правило, дают вам больше свободы действий с разметкой ошибок в
s, поскольку резервный вариант для недопустимых неэкранированных символов <
состоит в том, чтобы отображать их как текст, а не теги, но это не делает его менее неправильным или опасным (для XSS).
но это не сработало
Пожалуйста, опубликуйте, что вы сделали, что не сработало. HTML-экранирование - определенно правильная вещь.
Вам необходимо заменить специальный символ HTML на ссылки на символы (либо числовые ссылки на символы, либо ссылки на объекты) в textarea
, минимум &
, <
и >
.