我们的网络应用显示最终用户上传的不受信任的HTML。目前,我们在iframe中显示html,它很好地将html与网站的其余部分隔离开来。 html中包含的任何css都不会搞乱iframe之外的任何内容。
不幸的是,当我们尝试迁移到适合移动设备的网站时,iframe会导致问题。我们无法让移动触摸事件处理程序在iframe中正常运行。
此应用的iframe有替代品吗?我们想将html加载到普通<div>,但<html>和<head>标记在div中并不真实有效,我们必须玩一堆游戏让CSS工作。然后我们必须阻止css影响网站上的任何其他内容。
我们可以尝试清理html,但我们确实需要允许最终用户将自己的任意css应用于html。应用程序的性质需要它。