如何在页面的某些部分禁用javascript。为了检验我有下一个结构
html
head
my js files
head
body
div
my components(they use javascript)
div
div
some untrusted content(may be some elements with javascript triggers 'on load' or smt. like that
div
body
html
我不想处理这些内容,只是按“原样”提供,但不容易受到XSS攻击。
更新 我想构建小型服务,用于从简单表单发布文本信息并保存到数据库。我想在html页面上以预览模式为用户显示它(包括两个元素 - 标题和正文)。
答案 0 :(得分:0)
尝试使用<替换不受信任内容中的<:
var somewhatSanitizedContent = untrustedContent.replace("<", "<");
这会使所有HTML标记显示为纯文本,同时也会禁用<script>标记。
但是,在存储之前清理输入可能是个好主意,而不是之后。