【 以下文字转载自 Java 讨论区 】
发信人: sayinger (言者), 信区: Java
标 题: 向页面里输出json的时候,这种情况一般怎么处理
发信站: 水木社区 (Fri Sep 10 19:10:43 2010), 站内
比方说要输出:
<script>
var xxx = { name: "text" };
</script>
对于name的值,一般来说按照ecma的标准做转义就可以,大部分json库都能处理。
但我们都知道在页面里,浏览器会优先解析<script>,那么如果name里出现"</script>"就会截断js,这就出现了注入的可能。
如何处理这种问题呢?毕竟在js看来,"</script>"是完全合法的字符串。
--
FROM 202.106.68.*