如何使用 JavaScript 更改 span 元素的文本?
2022-08-29 23:10:32
如果我有一个跨度,说:
<span id="myspan"> hereismytext </span>
如何使用JavaScript将“hereismytext”更改为“newtext”?
答案 1
对于现代浏览器,您应该使用:
document.getElementById("myspan").textContent="newtext";
虽然较旧的浏览器可能不知道,但不建议使用它,因为当新文本是用户输入时,它会引入XSS漏洞(有关更详细的讨论,请参阅下面的其他答案):textContentinnerHTML
//POSSIBLY INSECURE IF NEWTEXT BECOMES A VARIABLE!!
document.getElementById("myspan").innerHTML="newtext";
答案 2
因此不建议使用innerHTML。相反,您应该创建一个 textNode。这样,您就可以“绑定”文本,并且至少在这种情况下,您不容易受到XSS攻击。
document.getElementById("myspan").innerHTML = "sometext"; //INSECURE!!
正确的方法:
span = document.getElementById("myspan");
txt = document.createTextNode("your cool text");
span.appendChild(txt);
有关此漏洞的更多信息:跨站点脚本 (XSS) - OWASP
编辑于2017年11月4日:
根据@mumush建议修改了第三行代码:“使用 appendChild();相反”。
顺便说一句,根据@Jimbo Jonny的说法,我认为一切都应该通过应用层安全性原则来被视为用户输入。这样你就不会遇到任何惊喜。
推荐
-
-
-
java string.getBytes(“UTF-8”) javascript equivalent 我在java中有这个字符串: 我的印象是 unescape(encodeURIComponent()) 会正确地将字符串转换为 UTF-8。难道不是这样吗? 参考:
-
在 REST API 调用之前对 meta 进行 OPTIONS 调用 我试图理解这个系统是如何在引擎盖下工作的。该系统是基于非常标准的,我没有得到的客户端在每次API调用之前进行调用,并且XML内容以该格式返回。它使用泽西爪哇。 B.此调用是由浏览器自
-
使用 Java 进行 AES 加密,并使用 Javascript 进行解密 我正在制作一个应用程序,它需要基于Java的AES加密和基于JavaScript的解密。我使用以下代码进行加密作为基本形式。
标签
推荐