我设计了一个包含许多JavaScript块的网站:
<script type='text/javascript'></script>
用户可以发布到我的页面,恶意用户可以发布脚本块作为帖子。我想要的是将用户帖子中的脚本块视为 text 而不是代码。
我知道我可以验证输入并过滤掉<script>
块,但为了满足我的好奇心,有没有办法阻止特定的<script>
标签在页面加载后运行?
答案 0 :(得分:2)
在客户端上没有可靠的方法来控制JS。即使您的逻辑阻止某些代码块执行,也没有什么能阻止用户修改代码并在Javascript控制台中运行它。
作为一般规则,浏览器端发生的一切都在用户的控制之下,不应该被信任;你可能应该重新考虑你的验证。