Zapobieganie zastrzykom HTML i skryptów w JavaScript
Załóżmy, że mam stronę z polem wprowadzania. Użytkownik wpisuje coś w polu wprowadzania i naciska przycisk. Przycisk uruchamia funkcję, która podnosi wartość wpisaną w polu tekstowym i wyprowadza ją na stronę pod polem tekstowym z dowolnego powodu.
Teraz było to niepokojąco trudne do znalezienia ostatecznej odpowiedzi lub nie pytałbym, ale jak byś poszedł o wyprowadzenie tego ciągu:
<script>alert("hello")</script> <h1> Hello World </h1>
Żeby nie był wykonywany ani skrypt, ani element HTML?
Naprawdę pytam, czy istnieje standardowa metoda unikania wstrzykiwania HTML i ScriptJavascript. Wydaje się, że wszyscy mają inny sposób na zrobienie tego (używam jQuery, więc wiem, że mogę po prostu wyprowadzić ciąg dotekst element, a niehtml na przykład element, ale nie o to chodzi.