从文档中,我相信Html(value)
足以逃脱HTML和Javascript。但是,这段代码让HTML标签无需转义即可通过。充分转义HTML和Javascript
<ul>
@*here is the loop*@
@nodes.map{ n =>
<li> @Html(n) </li> }
</ul>
请给将充分渲染视图前逃离 HTML和Javascript(和所有其他危险的事情)的代码。
从文档中,我相信Html(value)
足以逃脱HTML和Javascript。但是,这段代码让HTML标签无需转义即可通过。充分转义HTML和Javascript
<ul>
@*here is the loop*@
@nodes.map{ n =>
<li> @Html(n) </li> }
</ul>
请给将充分渲染视图前逃离 HTML和Javascript(和所有其他危险的事情)的代码。
我认为情况正好相反。 Html
函数输出原始字符串而不用转义它。默认情况下,Play会跳出插入到模板中的动态内容。请参阅section on Escaping in the documentation。
那么它会逃避JS但不是HTML?如何逃避HTML? – aitchnyu
我不明白这个问题。那是什么'? Html函数或播放模板库?你不必做任何事情来转义html(包括
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting).p_vention_Cheat_Sheet – Quentin