背景
假设有个留言版程序已经上线并正常运作中,但是现在发现,有些用户会在留言中输入一些HTML标签。基于安全性的考量,不希望用户输入的HTML标签直接出现在留言中而被浏览器当作HTML的一部分。例如,并不希望用户在留言中输入com.sina.com.cn这样的信息,你不想信息在留言显示中直接变成超链接,让用户有机会在留言版中打广告,希望将一些HTML过滤掉,如将<、>角括号置换为HTML实体字符<与>。
使用<、>角括号与<与>的区别:
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <a href="www.baidu.com">点击我</a><br> <a href="www.baidu.com">点击我</a> </body> </html>