我有一个带有一个块的网站,其中包含来自远程服务器的AJAX加载代码。我怎样才能禁止执行可能来自远程服务器的代码? “noscript”标签真的够用吗?
我认为我们不应该关注</noscript><script>...</script>即将来临的注意案例。
提前致谢!
答案 0 :(得分:1)
我怎样才能禁止执行可能来自远程服务器的代码?
向您自己的服务器发出Ajax请求。从您的远程服务器请求数据。通过HTML解析器和白名单(XSS过滤器)运行它。然后将其返回给客户。
“noscript”标签真的够用吗?
noscript提供了在浏览器不支持JS时,浏览器应忽略的内容。它不提供任何种类的沙盒。
答案 1 :(得分:0)
您可以通过ajax加载来定位要加载的特定元素(使用选择器)。所以例如(希望这不会令人困惑,但这里有):
http://jsbin.com/efazun/2 - (页面1)在加载页面时有一个显示“hello world”的警报。
http://jsbin.com/ezewep/4/edit(第2页) - 使用jquery load加载 Page 1 ,它显示hello world(加载时执行脚本 - 不好)
http://jsbin.com/ezewep/2/edit(第3页) - 使用jquery load加载第1页,但仅定位文本,不执行任何脚本(没有hello world消息)。
了解更多信息:http://api.jquery.com/load/