如何在网格中使用 Kendo 模板时避免执行 javascript
How to avoid executing javascript while using Kendo Templates in grids
我希望我的用户在 UI 字段中输入 kendo 模板,以便他们自定义网格单元格。因此用户可以在 UI 上的输入字段中输入 Hello #= name #,网格列将适当地显示结果。
问题在于,用户可能会在模板中输入# alert('test') #,而javascript 将执行。我在我的应用程序中使用 ajax,恶意用户可能会从模板调用 http。
是否可以避免在 Kendo 模板中执行 javascript?
你无法真正避免它,除非通过清理输入。您可以在应用模板之前从模板中删除圆括号,这样至少不会有函数调用,或者使用正则表达式从模板中删除所有 # ... #。
我希望我的用户在 UI 字段中输入 kendo 模板,以便他们自定义网格单元格。因此用户可以在 UI 上的输入字段中输入 Hello #= name #,网格列将适当地显示结果。
问题在于,用户可能会在模板中输入# alert('test') #,而javascript 将执行。我在我的应用程序中使用 ajax,恶意用户可能会从模板调用 http。
是否可以避免在 Kendo 模板中执行 javascript?
你无法真正避免它,除非通过清理输入。您可以在应用模板之前从模板中删除圆括号,这样至少不会有函数调用,或者使用正则表达式从模板中删除所有 # ... #。