从string获取textContent

时间:2013-12-23 23:26:45

标签: javascript dom

我正在处理一个应用程序,如果我将字符串插入div(空),我需要获取textContent div属性返回的值。 innerHTML财产。这是供用户预览的。显然,我可以做到这一点,但我不能从解析后的HTML字符串中运行任何脚本。例如,如果字符串包含<img src="https://www.google.com/images/srpr/logo11w.png" onload="alert('hello')">,则会显示警告。

编辑:这是一个文件编辑应用,因此字符串可以是任何内容。用户可能会收到恶意文件并使用该应用程序打开并被黑客攻击。

1 个答案:

答案 0 :(得分:0)

要考虑的一件事是:预览的这些东西来自哪里?

很可能,它来自用户自己的浏览器。

用户攻击自己的浏览器没有安全风险。

您唯一需要担心的是,当您向一位用户提供由其他用户提交的内容时。此时,您必须担心XSS攻击,并相应地进行修剪。如果是这种情况,请告诉我。但是,如果没有,那么你所拥有的是一个沙箱,用户所做的并不重要。