jQueryを使って

ユーザが入力した文字列をjQueryを使って画面に表示するシステムがあります。
以下のようにスクリプトタグを入力されてしまうと、アラートが実行されてしまいます。

JavaScript
1$("#sample").html("<div><script>alert(1)</script></div>")

これを上手く回避する方法はないでしょうか？
一応、HTML特殊文字を一度エスケープしてから表示後に元に戻せばスクリプトは実行されませんが、
少し画面がちらついてしまいます。

良い方法をお持ちだという方、是非ご教示願います。

行動規範の内容に同意します

回答3件

タグを入力させる必要がない場面であれば、.text()を使いましょう。タグが入ってもエスケープされて、単なる文字として処理されます。

投稿2015/10/01 01:38

総合スコア145183

2015/10/01 12:01

回答ありがとうございます。言葉足らずで申し訳なかったのですが、<div>の部分はユーザの入力値ではないので、そこの部分はhtmlとして解釈したかったです。説明下手で申し訳ありません・・・

行動規範の内容に同意します

maisumakun さんのコメントより。

言葉足らずで申し訳なかったのですが、<div>の部分はユーザの入力値ではないので、そこの部分はhtmlとして解釈したかったです。

テキストノードと要素ノードを別々に生成すればエスケープする必要もないと思います。

JavaScript
1jQuery('#sample').append(jQuery('<div>').text('\x3Cscript>alert(1)\x3C/script>'));

投稿2015/10/01 12:11

総合スコア18162

2015/10/01 12:12

タッチの差で解決したようなので流してください。

行動規範の内容に同意します

ベストアンサー

次のURLを参考にしてみてはいかがでしょうか。
XSS対策：jQueryでのエスケープ

投稿2015/10/01 01:34

総合スコア1698

2015/10/01 12:02

回答ありがとうございます。上記サイトを参考にして解決しました。ベストアンサーにさせていただきます。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問