Question

js怎么处理js和html字符串？

有如下3个字符串
1.javascript:alert(document.cookie)
2."> <input type="button" value="XSS">
3. onmouseover=alert('test');'
当我把这三个字符串当成ID分别赋给某控件时，html貌似识别不了这样的字符串，
应该怎么处理才好？望大神指教

Answer 1

你可以设置下ajax的传输数据类型

$.ajax({ 
                    type: "POST",
                    dataType: "json",

Answer 2

试试encodeURI()

追问

试过了，不行

追答

用这个函数

function htmlspecialchars(str)  
    {  
        var s = "";
        if (str.length == 0) return "";
        for   (var i=0; i<str.length; i++)
        {
            switch (str.substr(i,1))
            {
                case "<": s += "&lt;"; break;
                case ">": s += "&gt;"; break;
                case "&": s += "&amp;"; break;
                case " ":
                    if(str.substr(i + 1, 1) == " "){
                        s += " &nbsp;";
                        i++;
                    } else s += " ";
                    break;
                case "\"": s += "&quot;"; break;
                case "\n": s += "<br>"; break;
                default: s += str.substr(i,1); break;
            }
        }
        return s;
    }

追问

我现在要把字符传给方法名，比方说：
function Change{/literal}{$CGID}{literal}( form ){}这个方法，
$CGID在后台是等于“AaBbz”的，但是在前台接收的时候就变成了
function ChangeAaBbz( form ){}这样，
htmlspecialchars这个方法应该怎么用？

追答

这个特殊符号 你用来组成方法名？

追问

方法名是后台传到前台的字符串，可以是任意值，普通字符串都已经实现了，就是这种带有html元素的字符串不知道怎么转义

追答

首先方法名不可以是任意字符，另外这种事不能当方法名的

Answer 3

怎么识别不了啊？发出代码来看看~

追问

就是把字符串：AaBbz
从后台传到页面上，在页面上接收的时候就成了：Aa<br>Bbz
应该怎么转译？

追答

哦~用HTML的标签啊~
把传过去的内容放到这对标签里面就行了~

追问

我现在要把字符传给方法名，比方说：
function Change{/literal}{$CGID}{literal}( form ){}这个方法，
$CGID在后台是等于“AaBbz”的，但是在前台接收的时候就变成了
function ChangeAa<br>Bbz( form ){}这样，

追答

可以的~你可以加上这个东西试试，一起输出看看

追问

function Change{/literal}{$CGID}{literal}( form )
这样么？没用的，
用了以后是这么个效果：
function ChangeAa<br>Bbz( form )