我从一个不可信的源代码下载了一些html树,并使用它仅显示内容作为我页面中某些HTML div的子节点。但是,下载的代码有可能在事件处理程序中运行脚本/或执行脚本。是否有可能在HTML一样,使用标签来定义脚本,做一个HTML Javascript - 防止从dom树的子节点执行脚本
<noscriptex>
<script>
...
</script>
</noscriptex>
那么浏览器就不会这个标签中执行任意代码?
如果没有这样的事情,我如何清理下载的HTML只是为了显示带有CSS的DOM元素而不涉及任何脚本?
您需要重新考虑这一点并在显示之前对输入进行清理。这样的代码只是在等待被利用。 – Blender
@Blender:这正是他要求的, – SLaks
@Slaks:我的不好。我不知何故错过了问题的最后一段...... – Blender