document.title 转义 Html,这是所有浏览器的标准和可靠吗?
document.title escapes Html, is this standard and solid across all browsers?
如果我 pre-escape 我的标题字符串 'cats & dogs' 设置为 JavaScript 做 document.title='cats & dogs'; 我将在标题中得到准确的结果,并且 'cats & dogs'在 Html.
显然正确的做法是将 未转义的 字符串传递给 document.title,但我想放心并询问这是否在所有浏览器中都可靠且安全,并且没有浏览器会设置像 <script> unescaped.
这样的东西
设置值时的HTML spec for document.title says to use string replace all。这意味着它创建一个文本节点并将内容设置为所需的值。由于文本节点不能包含 HTML,您在所有浏览器中应该是安全的。
如果我 pre-escape 我的标题字符串 'cats & dogs' 设置为 JavaScript 做 document.title='cats & dogs'; 我将在标题中得到准确的结果,并且 'cats &amp; dogs'在 Html.
显然正确的做法是将 未转义的 字符串传递给 document.title,但我想放心并询问这是否在所有浏览器中都可靠且安全,并且没有浏览器会设置像 <script> unescaped.
设置值时的HTML spec for document.title says to use string replace all。这意味着它创建一个文本节点并将内容设置为所需的值。由于文本节点不能包含 HTML,您在所有浏览器中应该是安全的。