JFinal模板与HTML标签冲突,如何处理?

<input value="#(str)">
如果str含有"",则页面就会报错;
<input value='#(str)'>
如果str含有'',则页面就会报错;

一两个还好单独处理,处理很多个就难搞了。

项目:JFinal

评论区

杜福忠

2025-11-12 14:58

https://jfinal.com/doc/6-4
12、#escape 指令
escape 指令用于 html 安全转义输出,可以消除 XSS 攻击。
switch (cur) {
case '<':
w.write("&lt;");
break;
case '>':
w.write("&gt;");
break;
case '"':
w.write("&quot;");
break;
case '\'':
// w.write("&apos;"); // IE 不支持 &apos; 考虑 &#39;
w.write("&#39;");
break;
case '&':
w.write("&amp;");
break;
default:
w.write(str, i, 1);
break;
}
 回复

杜福忠

2025-11-12 15:01

我们是在入库前就处理了,接收json对象时遍历格了一遍
 回复

CSCLSZ

2025-11-13 20:54

@杜福忠 👍
 回复
我要反馈

热门反馈

扫码入社