我正在设置一个允许某些用户创建插件的Web应用程序。这些插件可能包含由JavaScript呈现的客户端模板。与iCanHaz.js模板一样,模板代码放在script标记中type="text/html"。
我担心的是,有人会尝试通过包含实际的JavaScript代码而不仅仅是模板代码来编写包含XSS攻击的插件。我知道在当前的浏览器中,带有script的{{1}}标记不能作为JavaScript执行,因此它应该是安全的。所有浏览器都是这种情况吗?我担心的是,有些浏览器会在看到type="text/html"标记时盲目地将代码作为JavaScript执行。
答案 0 :(得分:2)
这是文档,它应该是如何工作的。确定的最佳方法是测试它,但所有主流浏览器都能正常运行。