<script>
var xxx = { name: "</script>" };
</script>

这样是合法的吧
【 在 sayinger (言者) 的大作中提到: 】
: 【 以下文字转载自 Java 讨论区 】
: 发信人: sayinger (言者), 信区: Java
: 标  题: 向页面里输出json的时候，这种情况一般怎么处理
: 发信站: 水木社区 (Fri Sep 10 19:10:43 2010), 站内
:    比方说要输出：
:    <script>
:    var xxx = { name: "text" };
:    </script>
:    对于name的值，一般来说按照ecma的标准做转义就可以，大部分json库都能处理。
:    但我们都知道在页面里，浏览器会优先解析<script>，那么如果name里出现"</script>"就会截断js，这就出现了注入的可能。
:    如何处理这种问题呢？毕竟在js看来，"</script>"是完全合法的字符串。
--
FROM 221.133.229.*