escapeHTML是一個JS函數,用于將HTML中的特殊字符轉義,防止XSS攻擊。以下是使用escapeHTML的示例:
function escapeHTML(str) {
var entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
return String(str).replace(/[&<>"'\/]/g, function (s) {
return entityMap[s];
});
}
var html = '<script>alert("XSS");</script>';
var escapedHTML = escapeHTML(html);
console.log(escapedHTML);
在上面的例子中,escapeHTML函數會將<script>alert("XSS");</script>中的特殊字符<, >, &, ", '和/進行轉義,輸出結果為<script>alert("XSS");</script>。
注意:這個函數只會轉義特殊字符,不會對整個HTML進行轉義。如果需要對整個HTML進行轉義,可以使用其他庫或者框架提供的函數,如htmlspecialchars函數。
