HTML處理	stripTags  | escapeHTML |  unescapeHTML
JSON處理	unfilterJSON |  isJSON |  evalJSON |  parseJSON
腳本處理	stripScripts |  extractScripts  | evalScripts

現(xiàn)在，String部分轉(zhuǎn)入具體的關(guān)聯(lián)應(yīng)用，分別對應(yīng)
HTML字符串，JSON字符串和HTML中的腳本字符串。
【亂入一句，有關(guān)JSON的一點(diǎn)東西，可以看看http://www.cnblogs.com/TomXu/archive/2012/01/11/2311956.html】
下面分別敘述：
一、HTML字符串
stripTags ：移除字符串中所有的 HTML 標(biāo)簽。
escapeHTML ： 將 HTML 特殊字符轉(zhuǎn)換為它們的等價(jià)實(shí)體。（&對應(yīng)&amp; <對應(yīng)&lt; >對應(yīng)&gt; ）
unescapeHTML ：移除字符串中的標(biāo)簽，并將用實(shí)體表示的 HTML 特殊字符轉(zhuǎn)換為它們的正常形式。（escapeHTML 的逆操作）
stripTags 中的一段正則/<\w+(\s+("[^"]*"|'[^']*'|[^>])+)?>|<\/\w+>/gi用來匹配標(biāo)簽中的內(nèi)容，注意不能換行，不過換行的話就有語法錯(cuò)誤了。
【這個(gè)方法唯一需要注意的位置是，stripTags會(huì)移除<script>標(biāo)簽，但是不會(huì)移除里面的內(nèi)容，所以可能將<script>里面的內(nèi)容暴露出來，影響頁面結(jié)構(gòu)】
二、腳本字符串
stripScripts ： 移除字符串中所有的 HTML script 塊。彌補(bǔ)stripTags方法對script標(biāo)簽的缺陷
extractScripts ：提取出字符串中包含的所有 script 的內(nèi)容，并將之返回作為一個(gè)字符串?dāng)?shù)組。
evalScripts ：執(zhí)行字符串中包含的所有 script 塊的內(nèi)容。返回一個(gè)數(shù)組，該數(shù)組包含每個(gè) script 執(zhí)行后返回的值。
stripScripts中的正則是對stripTags中一個(gè)正則的發(fā)展


map是對數(shù)組的一個(gè)擴(kuò)展，某些瀏覽器有這個(gè)原生方法，參見《chrome原生方法之?dāng)?shù)組》
最后獲得的是一個(gè)所有script標(biāo)簽內(nèi)部內(nèi)容的一個(gè)數(shù)組，因此evalScripts 的做法就很自然的可以想出來——循環(huán)遍歷獲得的數(shù)組，然后依次執(zhí)行（eval），存儲(chǔ)每一項(xiàng)執(zhí)行的結(jié)果。

三、JSON處理
unfilterJSON：移除 Ajax JSON 或 JavaScript 響應(yīng)內(nèi)容周圍的安全注釋界定符。
isJSON：使用正則表達(dá)式檢測字符串是否是合法的 JSON 格式
evalJSON：執(zhí)行一個(gè) JSON 格式的字符串，并返回結(jié)果對象
其中isJSON和evalJSON就是JSON.js中的parseJSON，而且代碼也差不多，參見《從字符串中解析出JSON》
順便說一點(diǎn)unfilterJSON中的安全注釋界定符，這是一種安全機(jī)制，對于自家的數(shù)據(jù)，可以在返回值兩端加上特殊的字符（界定符）來表明數(shù)據(jù)的來源，客戶端解析的時(shí)候用unfilterJSON來處理掉添加的界定符，借此可以在一定程度上減少一些XSS的攻擊。
Prototype中默認(rèn)的形式是：
'/*-secure-\n{"name": "小西山子","age": 24}\n*/'
其中界定符號是 /*-secure-\n'和'\n*/'

最新評論