Un usuario de mi aplicación HTML 5 puede ingresar su nombre en un formulario, y este nombre se mostrará en otro lugar. Más específicamente, se convertirá en el innerHTML
de algún elemento HTML.Dojo Toolkit: ¿cómo escapar de una cadena HTML?
El problema es que esto puede explotarse si se ingresa un marcado HTML válido en el formulario, es decir, algún tipo de inyección HTML, si se quiere.
El nombre del usuario solo se almacena y se muestra en el lado del cliente, por lo que al final el usuario mismo es el único afectado, pero sigue siendo descuidado.
¿Hay alguna manera de escapar de una cadena antes de ponerla en un elemento innerHTML
en Dojo? Supongo que Dojo en cierto momento sí tenía esa función (dojo.string.escape()
) pero no existe en la versión 1.7.
Gracias.
Funciona como un encanto y no tengo que reinventar la rueda. ¡Gracias! –