【发布时间】:2015-11-19 00:34:47
【问题描述】:
所以我正在与 socket.io 和 node.js 进行实时聊天,我的聊天和一切正常,但如果有人在聊天中链接了一个网站,我希望它自动成为一个超链接。
我正在使用 autolinker.js 来执行此操作,它可以根据需要创建链接,但我的问题是我输出消息的方式以避免 HTML 注入。
for(var x = data.length - 1; x >= 0; x--) {
var autolinker = new Autolinker();
var linkedText = autolinker.link(data[x].message);
var message = document.createElement('div');
var linkOfMessage;
message.setAttribute('class', 'chat-message');
//message.textContent = data[x].name + ': ';
message.innerHTML = data[x].name + ': ' + linkedText;
// Append
messages.insertBefore(message, messages.firstChild);
messages.appendChild(message);
messages.scrollTop = messages.scrollHeight;
}
所以消息得到了正确处理,但是使用 innerHTML,他们基本上可以在我的聊天中使用脚本,这很糟糕。但是
message.textContent = data[x].name + ': ' + linkedText;
只会以纯文本形式显示我的超链接而不可点击,有没有办法做到这一点而不会使网站处于危险之中?
我花了几个小时环顾四周,找不到与此相关的任何内容。
提前致谢!
【问题讨论】:
标签: javascript node.js html socket.io