我可以阻止特定的Javascript块运行吗?

时间:2012-09-20 02:31:19

标签: javascript facebook-javascript-sdk

我设计了一个包含许多JavaScript块的网站:

<script type='text/javascript'></script>

用户可以发布到我的页面,恶意用户可以发布脚本块作为帖子。我想要的是将用户帖子中的脚本块视为 text 而不是代码

我知道我可以验证输入并过滤掉<script>块,但为了满足我的好奇心,有没有办法阻止特定的<script>标签在页面加载后运行?

1 个答案:

答案 0 :(得分:2)

在客户端上没有可靠的方法来控制JS。即使您的逻辑阻止某些代码块执行,也没有什么能阻止用户修改代码并在Javascript控制台中运行它。

作为一般规则,浏览器端发生的一切都在用户的控制之下,不应该被信任;你可能应该重新考虑你的验证。