我正在使用ajax从php获取内容以更新我页面上的内容。
我想知道,因为我使用javascript innerHTML插入内容,是否有必要检查脚本标记,因为到目前为止据我所知,添加innerHTML的脚本标签将无法运行,除非您有意评估它们。

答案 0 :(得分:0)
Can scripts be inserted with innerHTML?
这应该回答你的问题。如果要评估脚本标记,则必须手动执行。如果代码不仅仅是脚本标记,那么您将不得不检查脚本标记。
有很多方法,如示例所示(将onload事件中的脚本放在空标记中),但您必须更改从服务器检索的内容。
如果您害怕客户端会插入将要执行的有害Javascript,请害怕!你永远不应该在客户端做任何敏感的操作。