我正在寻找一个包含所有 html 属性的简单列表,这些属性可以包含在执行操作时自动运行的 javascript。我知道这在浏览器和版本之间会有所不同,但我宁愿更安全,也不愿后悔。我目前知道以下 javascript 属性:onload
, onclick
, onchange
, onmouseover
, onmouseout
, onmousedown
, and onmouseup
背景故事:我从不受信任的来源获取完整的 html 文档,并且我想删除可以从原始 html 文档运行的所有 javascript,因此我删除了所有脚本标记以及在 iframe 中显示之前可以保存 javascript 的任何属性。对于此植入,没有服务器端处理,也无法对代码进行沙箱处理,因为我需要运行在删除所有原始 javascript 后在本地添加的 javascript。
HTML 属性中有两个地方可以使用 Javascript:
Any onEVENT
属性。我建议只处理以on
作为事件绑定,并将它们全部删除。
如果 URI 使用 URI,则任何可以包含 URI 的属性都将作为 Javascript 执行javascript:
方案,例如href
and src
。完整列表位于
具有 URL 值的 HTML 标记属性的完整列表? https://stackoverflow.com/questions/2725156/complete-list-of-html-tag-attributes-which-have-a-url-value
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)