escapeHTML是一个JS函数,用于将HTML中的特殊字符转义,防止XSS攻击。以下是使用escapeHTML的示例:
function escapeHTML(str) {
var entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"/": '/'
};
return String(str).replace(/[&<>"'\/]/g, function (s) {
return entityMap[s];
});
}
var html = '<script>alert("XSS");</script>';
var escapedHTML = escapeHTML(html);
console.log(escapedHTML);
在上面的例子中,escapeHTML函数会将<script>alert("XSS");</script>中的特殊字符<, >, &, ", '和/进行转义,输出结果为<script>alert("XSS");</script>。
注意:这个函数只会转义特殊字符,不会对整个HTML进行转义。如果需要对整个HTML进行转义,可以使用其他库或者框架提供的函数,如htmlspecialchars函数。