Так "<h1>Hello World</h1>"
просто вернет «Hello World».Как захватить только текст элементов HTML безопасным и безопасным способом
Я пробовал:
$('<div>').html('<h1>Hello World</h1>').text()
И это отлично работает в большинстве случаев, но это действительно открывает собой XSS уязвимость, когда строка что-то вроде этого: <img src=1 onerror=alert(/XSS/)>
, когда я ожидаю, что это возвращать пустая строка
«но он не открывается в XSS уязвимости» вы имеете в виду «* это * открыть»? – Anonymous
ну, это зависит от того, откуда эта строка исходит ... –
Да, я имею в виду, что это «делает» открывает уязвимость xss –