这可能是一件愚蠢的事情;但我试图在网站上允许“一些”HTML(好吧,这可能是一个坏主意)。但是,为了争论......
您是否可以在属性和'='符号之间放置任何非空格字符,并且仍然可以使用现代浏览器来解释该属性。
换句话说;如果用户输入:
<img src="pic1.jpg" width=50 height=50 onClick='alert("Hi");'>
是否有任何字符可以出现在'onClick'之后但在'='符号之前,并且仍然让它在任何大名称浏览器中执行javascript警告消息,除了空格并进入?
举个例子 - 我尝试插入'&amp; nbsp'(并且失败了)...
但是还有另一种巧妙的插入我可能错过的东西的方式。
答案 0 :(得分:0)
经过大量的观察;我一直无法找到任何可能出现在'attribute = value'之间的不是空格的东西。