功能支持
- url参数自动编码
- javascript变量自动编码
- 普通XML文本自动编码
- 普通XML属性自动编码
Lite 模板系统能够根据模板的语言上下文,自动作出合理的编码,从源头杜绝XSS漏洞和不规范的代码书写方式。
具体功能上将遵从如下六条规则
- 普通的XML/HTML文本将按XML文本规则编码:必须编码 &< 两个XML特殊字符
-
普通的XML/HTML属性将按XML属性规则编码:必须编码
&<"三个XML特殊字符(所有XML属性将自动规范为" 做为属性引号!) - src,href,form@action等,属性中出现的模板变量,将先做自动url编码(encodeURI),再做html属性编码
- on* (事件脚本) 中出现的模板变量,将先做JSON.stringify 编码再做XML属性编码
- script 中出现的模板变量,将做JSON.stringify 编码(script默认自动增加CDATA,所有不做XML编码)。
- <[CDATA[段,将不做XML编码,script节点将自动加上必要的CDATA段