以下问题: 我已经给出了一个包含HTML的文件,但也可能是一些脚本代码。
现在我想编辑文件,以便在使用浏览器打开文件时不会执行任何脚本。
我的问题是:我该怎么办? 有哪些可能性将脚本放在HTML中以让它被执行?我知道有脚本标签,你也可以用iframe做,但还有什么可能吗?
我绝对想要阻止任何类型的脚本执行。我怎样才能做到这一点?
答案 0 :(得分:0)
查看已建立且经过良好测试的HTML过滤器库,例如{{3}},它使用白名单来过滤可能的恶意代码。不要依赖过滤HTML文档来保护任何javascript安全,一次又一次地更新浏览器并发现隐藏在javascript中的新方法。