在jQuery.parseHTML方法的API中,有一段读取
但是,在大多数环境中仍然可以间接执行脚本,例如通过
<img onerror>属性。调用者应该注意这一点,并通过清除或转发来自URL或cookie等来源的任何不受信任的输入来防范它。
我对这些安全注意事项还是比较陌生的 - 例如我不知道onerror属性 - 所以为了安全起见我需要查找什么?是否可以像以下一样运行:
function stringToDOM(raw_string) {
var escaped = _.escape(raw_string); // lodash 3.2.0
return $.parseHTML(escaped);
}
或者我需要做些什么来保证安全吗?
感谢。