我从不可信的来源下载了一些 html 树,并使用它来将内容显示为页面中某些 HTML div 的子级。但是,下载的代码存在运行脚本/或在事件处理程序中执行脚本的危险。在 HTML 中是否可以像使用标签定义脚本一样,执行
<noscriptex>
<script>
...
</script>
</noscriptex>
那么浏览器不会执行该标签内的任何代码?
如果没有这样的东西,我如何清理下载的 HTML 以显示 DOM 元素及其 CSS,而不涉及任何脚本?
不;没有这样的功能。
相反,您需要解析 HTML 并使用严格的白名单删除任何无法识别的标签和属性。
您还需要验证属性值;特别是网址。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)