第二种是修改innerText或textContent属性,这样可以自动对字符串进行HTML编码,保证无法设置任何HTML标签:
innerText
textContent
// 获取<p id="p-id">...</p> var p = document.getElementById('p-id'); // 设置文本: p.innerText = '<script>alert("Hi")</script>'; // HTML被自动编码,无法设置一个<script>节点: // <p id="p-id"><script>alert("Hi")</script></p>
简单事情说得的复杂化了。就是单纯的生成文本,标签也变成成字符串了
而且吧,你要写详细就都写详细,比如,innerText 属性是个啥?总得说明一下吧,
Sign in to make a reply
🌙
第二种是修改
innerText
或textContent
属性,这样可以自动对字符串进行HTML编码,保证无法设置任何HTML标签:简单事情说得的复杂化了。就是单纯的生成文本,标签也变成成字符串了
而且吧,你要写详细就都写详细,比如,innerText 属性是个啥?总得说明一下吧,