我正在寻找一个包含javascript的所有html属性的简单列表,这些属性将在执行操作时自动运行。我知道这在浏览器和版本之间会有所不同,但我宁愿比抱歉更安全。我目前知道以下javascript属性:onload,onclick,onchange,onmouseover,onmouseout,onmousedown和{{1} }
背景故事: 我从一个不受信任的来源获取一个完整的html文档,我想删除所有可能从原始html文档运行的javascript,所以我删除所有脚本标记以及任何可以在iframe中显示之前保存javascript的属性。对于这种植入,没有服务器端处理,也没有沙盒代码的方法,因为我需要运行在删除所有原始javascript后在本地添加的javascript。
答案 0 :(得分:5)
有两个地方可以在HTML属性中使用Javascript:
任何onEVENT属性。我建议只将以on开头的任何属性视为事件绑定,并将它们全部删除。
如果URI使用javascript:方案,例如href和src,则任何可以包含URI的属性都将作为Javascript执行。完整列表在
COMPLETE list of HTML tag attributes which have a URL value?
答案 1 :(得分:1)