脚本注入影响 jquery 模板

Question

我尝试在 jquery 模板中使用 {{ html }} 加载字符串。 但是脚本注入会影响 {{html }}。 如何限制脚本注入。

Answer 1

问题不在于 jQuery 模板，而是因为 html 是这样解析字符串文字中的 <script> 元素的。见Why split the <script> tag when writing it with document.write()?

如果你想解析和执行脚本，那么一个简单的方法是将脚本移动到一个单独的文件中（并将该文件包含在 html 页面中）而不是内联它。

或者你可以像这样逃避它

testTemplate = "<i>{{html txt}}</i>";
$.template('testTemplate', testTemplate);
$.tmpl("testTemplate", {
  txt: "<b>bold</b> and \x3Cscript>alert('abc')\x3C/script>"
}).appendTo("#target");

<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<script src="http://ajax.microsoft.com/ajax/jquery.templates/beta1/jquery.tmpl.js"></script>
<ul id="target"></ul>