Discussion :

[cari]

bonjour, j'aimerai controler les saisies de l'utilisarteur.
Comment faire pour remplacer < et > par &lt et &gt lors d'une saisie en javascript?
Par exemple, si l'utilisateur dans le champ nom saisit: <script> alert("cross") </script>

[Bisûnûrs]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
var machaine = "<script>";
var machine  = machaine.replace(/</,"&lt");
var machin   = machine.replace(/>/,"&gt");

[FremyCompany]

ca existe déjà sur le forum...

En gros :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
var d=document.createElement("div");
d.appendChild(document.createText(txt));
return d.innerHTML

[cari]

côté client:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

str.replace(/</g, '&lt;').replace(/>/g, '&gt;');

ça marche. Merci.

[FremyCompany]

côté client:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

str.replace(/</g, '&lt;').replace(/>/g, '&gt;');

ça marche. Merci.

Mouais... mais ca n'échappe pas les autres caractères illégaux du XML/XHTML/HTML tels que "é", "è", "î", "\"",

[stanford]

et on ne parle même pas du & genre un texte "Marc & Sophie"...

[Bisûnûrs]

Mais il ne veut pas échapper les caractères illégaux (et si ça se trouve il le fait déjà), il voulait juste interdire l'exécution de scripts ... -__-

[FremyCompany]

Mais il ne veut pas échapper les caractères illégaux (et si ça se trouve il le fait déjà), il voulait juste interdire l'exécution de scripts ... -__-

Dans ce cas ca n'a aucun intéret... si je tape "J'étais parti <script>alert('hello')</script>" dans la boite de texte et qu'ensuite il fait un innerHTML=btt.value
1) Le script ne s'exécutera pas
2) "J'?tais parti" s'affichera...

[cari]

en réalité c'est du cross site scripting que je veux éviter!

[FremyCompany]

en réalité c'est du cross site scripting que je veux éviter!

Que veux-tu dire par la ?