我正在寻找一个简单的列表,其中包含所有可以包含 javascript 的 html 属性,这些 javascript 将在执行操作时自动运行。我知道这在浏览器和版本之间会有所不同,但我宁愿安全也不愿后悔。我目前知道以下 javascript 属性:onload
、onclick
、onchange
、onmouseover
、onmouseout
、onmousedown
和 onmouseup
背景故事: 我从一个不受信任的来源获取了一个完整的 html 文档,我想删除所有可以从原始 html 文档运行的 javascript,所以我要删除所有脚本标签以及在 iframe 中显示之前可以保存 javascript 的任何属性.对于此植入,没有服务器端处理,也无法对代码进行沙盒处理,因为我需要运行在删除所有原始 javascript 后在本地添加的 javascript。
最佳答案
HTML 属性中有两个地方可以使用 Javascript:
任何
onEVENT
属性。我建议只将任何以on
开头的属性视为事件绑定(bind),并将它们全部删除。如果 URI 使用
javascript:
方案,例如href
和src<,任何可以包含 URI 的属性都将作为 Javascript 执行
。完整列表在
COMPLETE list of HTML tag attributes which have a URL value?
关于javascript - 可以包含 javascript 的 HTML 属性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27852405/