程序员经验分享-hwhale

HTML Javascript - 防止从 dom 树的子节点执行脚本

2024-01-10

我从不可信的来源下载了一些 html 树,并使用它来将内容显示为页面中某些 HTML div 的子级。但是,下载的代码存在运行脚本/或在事件处理程序中执行脚本的危险。在 HTML 中是否可以像使用标签定义脚本一样,执行

<noscriptex>
    <script>
        ...
    </script>
</noscriptex>

那么浏览器不会执行该标签内的任何代码?

如果没有这样的东西,我如何清理下载的 HTML 以显示 DOM 元素及其 CSS,而不涉及任何脚本?


不;没有这样的功能。

相反,您需要解析 HTML 并使用严格的白名单删除任何无法识别的标签和属性。

您还需要验证属性值;特别是网址。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

javascript

html

Execution

HTML Javascript - 防止从 dom 树的子节点执行脚本 的相关文章

  • 递归修剪对象中所有元素的更好方法?

    如果我有一个像这样的物体 const obj field subfield innerObj a asdasd asdas innerArr s ssad innerArrObj b adsad 我想出了这样的东西 const trimFi

  • 如何在php中使用一张图像绘制形状

    我需要使用图像的一部分来创建帧图像 例如 用户将从后端上传图像片段 现在我需要根据前端用户的要求在前端创建一个框架 用户将选择框架的高度和宽度 然后他将选择该图像片段 如下所示 我没有办法做到这一点 我尝试通过 css 和 html can

  • 如何使用 jQuery Ajax 将 PHP 数组值传递到另一个文件?

    这是我的代码

  • 游戏手柄 JavaScript 未能按预期更新

    我正在尝试让浏览器报告我的 XBOX 控制器的状态 然而 在第一次按下按钮后 它似乎变得 卡住 我究竟做错了什么

  • html canvas动画卡顿

    谁能解释为什么提供的画布动画断断续续 我创建了一个测试存根来演示该问题 我在桌面上的 FF Chrome IE 以及 Android 上的 FF 和 Chrome 中看到了卡顿现象 口吃是由于垃圾收集造成的吗 似乎 raf 在每次调用时都会

  • setInterval() 在用户离开选项卡时暂停?

    javascript 中是否有任何方法的行为类似于 setInterval 并且当用户离开选项卡时停止并在用户再次进入选项卡时恢复 您可以使用以下方法创建自己的 API可见性API https developer mozilla org e

  • 窗口大小调整触发的 DOM 事件

    我有一个布局相当复杂的页面 最初打开页面时 某些元素的对齐存在问题 但是 可以通过更改浏览器窗口的大小来 永久 解决此问题 显然 我不希望用户必须调整浏览器窗口的大小才能使页面正确显示 所以我想知道是否有一种方法可以在页面首次加载时以编程方

  • put方法中的Angularjs文件上传不起作用

    我有一个简单的待办事项应用程序 我试图在其中上传照片和单个待办事项 现在我已经创建了这个工厂函数来负责待办事项的创建 todosFactory insertTodo function todo return http post baseUr

  • 使用 CSS 覆盖透明 div 中的不透明文本

    我试图使透明 div 内的文本没有不透明度 也就是全黑 div style background 3cc p style background 000 This text should be all black p div 只用 CSS 就

  • Outlook 2013 渲染问题:嵌套表格截断相邻文本

    在开发 html 电子邮件通讯时 我经常使用类似于以下的结构 table width 244 border 0 cellpadding 0 cellspacing 0 tr td table border 0 align left tbod

  • @aspnet/signalr 与 @microsoft/signalr javascript 库

    aspnet signalr 与 microsoft signalr javascript 库有什么区别 两者似乎都对 DotNetCore SignalR 有效 两者似乎都很活跃 在一些教程中 我找到 aspnet signalr 在Do

  • 有没有办法伪造同步 XHR 请求?

    我正在使用 Emscripten 系统将一堆 C 代码移植到 Javascript C 代码有很多调用fopen这是一个同步 IO 调用 在 Emscripten 中 我们使用对本地资源的 XHR 请求来模拟这一点however 在 Fir

  • jQuery 悬停时滚动到 div 并返回到第一个元素

    我基本上有一个具有设定尺寸的 div 和overflow hidden 该 div 包含 7 个子 div 但一次只显示一个 我希望当它们各自的链接悬停时能够平滑地垂直滚动 但是 第一部分 div 没有链接 并且是没有悬停链接时的默认部分

  • JavaScript Promise 不执行 .then()

    我在 JavaScript 中的 Promise 方面遇到了一些问题 我想做的是获得一个地址列表 然后对于每个地址 我需要调用地理编码 API 来获取 lat lng 然后我将继续将标记与热图一起绘制 这是我的代码 let promiseK

  • 根据特定字符获取整个字符串或子字符串

    我有一个包含 MIME 类型的字符串 例如application json 现在我想将其与实际的 HTTP 标头进行比较 在本例中content type 如果标头包含 MIME 类型 那么就很简单 if mimeType contentT

  • Outlook 加载项,无法读取未定义的属性“BeginRequestEventArgs”

    我使用 Visual Studio 开发了 Outlook 插件 我的插件有一个按钮 用于填充会议邀请正文中的详细信息并添加所需的与会者 这在 99 的情况下都有效 但是 时不时地它会给我下面的 JavaScript 错误 Uncaught

  • Javascript onload 不起作用[关闭]

    这个问题不太可能对任何未来的访客有帮助 它只与一个较小的地理区域 一个特定的时间点或一个非常狭窄的情况相关 通常不适用于全世界的互联网受众 为了帮助使这个问题更广泛地适用 访问帮助中心 help reopen questions 我正在使用

  • 如何为 Imagus 悬停缩放扩展开发自定义过滤器?

    当我读到关于悬停缩放是邪恶的 http www reddit com r YouShouldKnow comments 1wjrc8 ysk that the hover zoom extension is spyware 哎呀 有两篇文章

  • 如何:带有 onclick 的 div 位于另一个带有 onclick 的 div 中

    只是一个简单的问题 我遇到了 div 与 onclick javascript 之间的问题 当我点击内部 div 时 它应该只触发它的 onclick javascript 但外部 div 的 javascript 也会被触发 用户如何点击

  • D3 将现有 SVG 字符串(或元素)追加(插入)到 DIV

    我到处寻找这个问题的答案 并找到了一些我认为可能有用的资源 但最终没有让我找到答案 这里有一些 外部SVG http bl ocks org mbostock 1014829 嵌入SVG https stackoverflow com qu

随机推荐

  • 如何将 JFrame 放入 Java Swing 中现有的 JPanel 中?

    I have an open source java swing application like this http i47 tinypic com dff4f7 jpg http i47 tinypic com dff4f7 jpg 您

  • Wix - 安装然后运行 ​​powershell 脚本

    我知道有几篇关于 Wix 和 PowerShell 脚本的帖子 但在尝试了这些帖子中的解决方案后 我仍然没有得到我想要的结果 为了解释我的情况 我创建了一个 Wix 安装项目 它将从我的本地计算机 运行 Windows 7 获取 2 个 P

  • 针对特定文件扩展名的 Android 意图过滤器?

    我希望能够从网络下载具有特定扩展名的文件 并将其传递给我的应用程序来处理它 但我无法弄清楚意图过滤器 文件类型不包含在 mimetypes 中 我尝试使用

  • 在 Agda 中对 ST monad 进行建模

    最近这个所以问题 https stackoverflow com questions 33975270 can a st like monad be executed purely without the st library促使我在 Ha

  • 使用 Wordpress Super Cache 从缓存中排除动态值

    我正在使用超级缓存插件 一段时间以来 我一直在寻找解决方案 但没有成功 我需要禁用文件中一个函数的缓存functions php add shortcode custom counter example shortcode function

  • Webpack - Yaml -> JSON -> 提取文件

    我有一个包含一些翻译的 YAML 文件 我需要将这些文件转换为 JSON 文件 我尝试过使用yaml import loader and json loader但我收到错误 这是我的设置 const ExtractTextPlugin re

  • Java中的多线程解压

    因此 我尝试在 Java 中对 zip 文件进行只读访问 以多线程方式解压缩 因为我的 ZipFile ZipEntry 标准简单单线程解决方案使用枚举和输入流以及其他结果导致它采取大约需要整整五秒才能将一个 50 兆的 zip 文件解压到

  • Flutter:我应该在哪里调用 SystemChrome.setSystemUIOverlayStyle(SystemUiOverlayStyle.dark)

    在我的 flutter 应用程序中 屏幕 A 没有 AppBar 所以我打电话SystemChrome setSystemUIOverlayStyle SystemUiOverlayStyle dark 在构建中 在另一个具有 AppBar

  • 加载后删除程序集

    我正在尝试使用以下代码加载 MSIL 程序集 string PathOfDll PathOfMsILFile Dll Assembly SampleAssembly SampleAssembly Assembly LoadFrom Path

  • React - 将对象转换为具有属性的对象数组

    我有以下对象 data name 1 a name 2 b name 3 b 如何转换为保留名称和数据 a b 的对象数组 以便我可以为传入名称和数据的每个对象映射和渲染组件 如果您使用reduce函数 您可以执行以下操作来实现您的目标 O

  • 确定实施 sql server 触发器的一些缺点吗?

    我计划在所有 DML 语句上实现触发器以进行日志管理 因此 请确定这样做是否存在一些问题或缺点 我认为这个 SQL Server MVP 博客post http blog sqlauthority com 2007 05 24 sql se

  • 比 Stream.peek() 更好的方法

    peek 主要用于调试 如果我想在流中间调用流上的方法来更改流对象的状态 该怎么办 Stream of Karl Jill Jack map Test new peek t gt t setLastName Doe 我可以做 Stream

  • 为什么C++中的虚函数表指针(vfptr)不能是静态的?

    如果类的所有对象的虚函数表都是相同的 那么为什么指向该表的指针 vfptr 不能是静态的并在所有对象之间共享 vtable本质上是静态的 但是您实际上需要对象内部的 vptr 成员来执行虚拟调度和其他 RTTI 操作 在 vptr 实现上

  • 剪辑路径在 SVG 精灵中不起作用

    现场示例位于http codepen io RwwL pen xbNLJp http codepen io RwwL pen xbNLJp 我使用以下方法将 SVG 包含在应用程序中

  • Python 更新全局变量

    谁能告诉我我的代码中做错了什么 为什么我无法更新我的全局变量 据我了解 如果它是全局变量 我可以在任何地方修改它 如果 numpy 正在创建一个新数组 当我使用 np delete 时 那么删除 numpy 数组中的元素的最佳方法是什么 i

  • 是否可以停止AWS ElastiCache集群中的节点

    我有一个用于开发的AWS帐户 由于开发人员位于一个时区 我们会在下班后关闭资源以节省使用量 是否可以暂时关闭elasticache集群中的节点 我在 cli 参考中找到的只是 删除集群 http docs aws amazon com cl

  • 如何在 C# 中比较两个字典

    我有两本通用词典 两者具有相同的键 但它们的值可以不同 我想将第二本词典与第一本词典进行比较 如果它们的值之间存在差异 我想将这些值存储在单独的字典中 1st Dictionary key Value Barcode 1234566666

  • 为什么 0010 在 java 中的数组中给出不同的结果

    如果我在数组输出中的数字值之前放置 00 或 0 就会变得不同 int arr new int 3 2 arr 0 0 00 arr 0 1 01 arr 1 0 10 arr 1 1 0011 arr 2 0 0020 arr 2 1 2

  • Matlab 条形图中的图例

    如何在 Matlab 中的条形图中绘制图例 这是代码 Y 1 5056 0 72983 3 4530 3 2900 1 4839 12 9 n length Y h bar Y colormap summer n grid on l cel

  • HTML Javascript - 防止从 dom 树的子节点执行脚本

    我从不可信的来源下载了一些 html 树 并使用它来将内容显示为页面中某些 HTML div 的子级 但是 下载的代码存在运行脚本 或在事件处理程序中执行脚本的危险 在 HTML 中是否可以像使用标签定义脚本一样 执行

热门标签