Пользователь моего приложения HTML 5 может ввести свое имя в форму, и это имя будет отображаться в другом месте. Точнее, он станет innerHTML
некоторого HTML-элемента.
Проблема в том, что этим можно воспользоваться, если ввести в форму корректную HTML-разметку, т. е. своего рода HTML-инъекцию, если хотите.
Имя пользователя сохраняется и отображается только на стороне клиента, поэтому, в конце концов, затрагивается только сам пользователь, но это все равно неаккуратно.
Есть ли способ экранировать строку перед помещением ее в элементы innerHTML
в Dojo? Я предполагаю, что Dojo когда-то действительно имел такую функцию ( dojo.string.escape()
), но в версии 1.7 ее нет.
Спасибо.