如何使实时HTML预览文本区域免受HTML /脚本注入的影响

为了清理文本区域预览，只需将所有<和>替换为其 html 字符代码等效项：

function showPreview()
{
var value = $('#writer').val().trim();
value = value.replace("<", "&lt;");
value = value.replace(">", "&gt;");
$('#preview').html(value);
}

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<textarea id="writer" onInput="showPreview();">
</textarea>
<br/>
<hr/>
<div id="preview">
</div>

编辑：实际上，我认为这个解决方案更干净一些，并且不需要下面的代码。在速度页面中，所需要的只是利用Spring框架。所以我用这样替换文本区域：

#springBindEscaped("myJavaObj.textAreaText" true)
<textarea id="actualTextArea" name="${status.expression}" class="myClass" rows="10" cols="120">$!status.value</textarea>

这与一些后端 Java 验证相结合，最终成为一个更干净的解决方案。

但是，如果您想要一个非弹簧/速度解决方案，那么下面的解决方案就可以了

我拼凑了一个快速修复，因为我的主要目的是消除其他人轻松执行脚本的能力。这并不理想，我并不是说这是最好的答案，所以如果有人找到更好的解决方案，请分享。我创建了一个"清理"功能，如下所示：

function sanitize(text){
var sanitized = text.replace("<script>", "");
sanitized = sanitized.replace("</script>", "");
return sanitized;
}

然后，前两个事件处理程序现在如下所示：

$(".main").on("keyup", "#actualTextArea", function () {
var textAreaMarkup = $('#actualTextArea').val();
var sanitizedMarkup = sanitize(textAreaMarkup );
$('#actualTextArea').val(sanitizedMarkup);
$('#previewTextArea').html(sanitizedMarkup);
});
// This one can remain unchanged and infact needs to be
// If it's the same as above it will wipe the text area
//  on a highlight-backspace
$(".main").on("keydown", "#actualTextArea", function () {
$('#previewTextArea').html($('#actualTextArea').val());
});

除了Java端的卫生措施外，还可以防止数据库中存储任何有害的东西，这符合我的目的，但是如果存在更好的解决方案，我非常愿意接受。