Wie kann man die HTML -Injektion beim Verwenden von Template -Literalen stoppen?
Posted: 03 Jun 2025, 08:39
Ich habe eine einfache CRUD -Webapp, die auf der Basis von Literalen der Benutzereingabe auf der Basis von Literalen der Vorlage basiert. Das Problem ist, dass der Benutzer auf der Seite so etwas wie Hey < /b> < /code> eingibt: < /p>
ist, aber ist das nicht unvermeidlich bei der Verwendung von Vorlagenliteralen?
Code: Select all
const userInput = prompt("Enter your name", "foo[/b]");
document.body.innerHTML = `
[list]
[*]${userInput}
[/list]
`;< /code>
< /div>
< /div>
< /p>
Wie kann ich diese Interaktion verhindern? Gibt es eine Best Practice, um die Ausdrücke als Text anstelle von HTML einzufügen? Ich verstehe, dass dies ein Produkt von Innerhtml