HTML處理	stripTags  | escapeHTML |  unescapeHTML
JSON處理	unfilterJSON |  isJSON |  evalJSON |  parseJSON
腳本處理	stripScripts |  extractScripts  | evalScripts

現(xiàn)在，String部分轉入具體的關聯(lián)應用，分別對應
HTML字符串，JSON字符串和HTML中的腳本字符串。
【亂入一句，有關JSON的一點東西，可以看看http://www.cnblogs.com/TomXu/archive/2012/01/11/2311956.html】
下面分別敘述：
一、HTML字符串
stripTags ：移除字符串中所有的 HTML 標簽。
escapeHTML ： 將 HTML 特殊字符轉換為它們的等價實體。（&對應&amp; <對應&lt; >對應&gt; ）
unescapeHTML ：移除字符串中的標簽，并將用實體表示的 HTML 特殊字符轉換為它們的正常形式。（escapeHTML 的逆操作）
stripTags 中的一段正則/<\w+(\s+("[^"]*"|'[^']*'|[^>])+)?>|<\/\w+>/gi用來匹配標簽中的內容，注意不能換行，不過換行的話就有語法錯誤了。
【這個方法唯一需要注意的位置是，stripTags會移除<script>標簽，但是不會移除里面的內容，所以可能將<script>里面的內容暴露出來，影響頁面結構】
二、腳本字符串
stripScripts ： 移除字符串中所有的 HTML script 塊。彌補stripTags方法對script標簽的缺陷
extractScripts ：提取出字符串中包含的所有 script 的內容，并將之返回作為一個字符串數(shù)組。
evalScripts ：執(zhí)行字符串中包含的所有 script 塊的內容。返回一個數(shù)組，該數(shù)組包含每個 script 執(zhí)行后返回的值。
stripScripts中的正則是對stripTags中一個正則的發(fā)展


map是對數(shù)組的一個擴展，某些瀏覽器有這個原生方法，參見《chrome原生方法之數(shù)組》
最后獲得的是一個所有script標簽內部內容的一個數(shù)組，因此evalScripts 的做法就很自然的可以想出來——循環(huán)遍歷獲得的數(shù)組，然后依次執(zhí)行（eval），存儲每一項執(zhí)行的結果。

三、JSON處理
unfilterJSON：移除 Ajax JSON 或 JavaScript 響應內容周圍的安全注釋界定符。
isJSON：使用正則表達式檢測字符串是否是合法的 JSON 格式
evalJSON：執(zhí)行一個 JSON 格式的字符串，并返回結果對象
其中isJSON和evalJSON就是JSON.js中的parseJSON，而且代碼也差不多，參見《從字符串中解析出JSON》
順便說一點unfilterJSON中的安全注釋界定符，這是一種安全機制，對于自家的數(shù)據(jù)，可以在返回值兩端加上特殊的字符（界定符）來表明數(shù)據(jù)的來源，客戶端解析的時候用unfilterJSON來處理掉添加的界定符，借此可以在一定程度上減少一些XSS的攻擊。
Prototype中默認的形式是：
'/*-secure-\n{"name": "小西山子","age": 24}\n*/'
其中界定符號是 /*-secure-\n'和'\n*/'

最新評論