我有一个“清理”网页的程序。我将其编码为删除脚本标记,以及开始和结束“script”标记之间的任何代码。我删除标签的任何属性,如“onclick”或“onblur”或on-anything,因为这些可以执行javascript。我删除了iframe代码,因为它们可以包含另一个网页,该网页可能有自己的脚本。
所有这一切的想法是防止恶意脚本在用户获取页面之前执行。当然,他可以在浏览器中关闭JavaScript,但这个html是我自己的网页的一部分,我自己的网页需要启用JavaScript。
我的问题是:我错过了什么危险吗?