有什么方法可以禁用特定 div 中的所有类型的 JavaScript 吗?
我最初认为 <noscript>
标签本来就是为了那个,但事实证明我错了。
这是我要找的:
<some-sort-of-tag-here>
<script>
alert('test');
</script>
</some-sort-of-tag-here>
将呈现为:
<script>
alert('test');
</script>
而不是执行脚本。这将防止任何形式的 XSS 和其他外部 JavaScript(已包含在 head
中)能够修改给定的标签。
我在这里可能完全错了,这样的标签可能根本不存在,但请在这里帮助我。我觉得这样的标签将是 XSS 最简单的解决方案。无需担心任何脚本在标签内执行(这意味着所有用户内容都可以包含在该标签中),同时所有网站包含的 javascript 都能够根据需要修改页面内容。
我将如何继续创建一个标签,其中所有内容仅被视为纯 HTML,而不在其中执行任何形式的 JavaScript?
最佳答案
恐怕不存在这样的标签,您必须自己对内容进行 html 编码。
这样:
<script>
alert('test');
</script>
变成这样:
<script>
alert('test');
</script>
另请注意,如果有安全标签,如下所示:
<safe>
<script>
alert('test');
</script>
</safe>
任何人都可以通过制作内容来规避它:
</safe>
<script>
alert('test');
</script>
<safe>
关于javascript - 禁用 div 中的所有 javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49089037/