老哥们, html 标签过滤了=号&和%有没有可以直接写标签属性的方法?
source link: https://www.v2ex.com/t/833958
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
例:<a href="xyz"></a>
会过滤为<a href"xyz"></a>
。
不用 js 的情况下还有办法能让 href 正常生效吗?
Huyoumnonos 14 小时 50 分钟前 via Android
cyrbuzz 14 小时 32 分钟前
gadfly3173 13 小时 39 分钟前 2
shew2356 13 小时 31 分钟前
shew2356 13 小时 29 分钟前 1
vanton 13 小时 28 分钟前
不用 js 那就没啥可能了。
Zzm1203 13 小时 27 分钟前
yinjunjian0 13 小时 18 分钟前
设置范围过滤就好了
cyrbuzz 12 小时 52 分钟前
@Zzm1203
@yinjunjian0
emmm...例子是完整情况。
我期望通过输入`<a href="123">123</a>`的方式让 a 标签生效,但现在我输入的`<a href="123">123</a>`会被后端过滤为`<a href"123">123</a>`,前端拿到后不会做任何过滤直接输出。后端如何写的替换并不清楚= =,无法控制过滤规则。
不能用 JS 是一个限制条件。
@shew2356
完全就是这个意思~。
maplerecall 12 小时 33 分钟前
如果你是开发者,这种不合理的过滤规则找后端改,因为即使能用 JS 处理也不合理,反而会导致容易被 XSS 。
如果你是使用者,也许自定义标签属性这种行为本身就属于不被允许的,有需求只能找服务提供方去改。
mxT52CRuqR6o5 12 小时 31 分钟前
href 里写"javascript:XXXX"就能执行任意 js 代码
Xusually 12 小时 30 分钟前 3
cyrbuzz 11 小时 55 分钟前
mxT52CRuqR6o5 11 小时 39 分钟前 via Android
jin5354 10 小时 27 分钟前
learningman 8 小时 31 分钟前
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK