我正在设置一个允许某些用户创建插件的 Web 应用程序。这些插件可能包含由 JavaScript 呈现的客户端模板。与iCanHaz.js模板一样,模板代码放置在带有 的script标签中。type="text/html"
我担心有人会尝试通过包含实际的 JavaScript 代码而不仅仅是模板代码来编写包含 XSS 攻击的插件。我知道在当前的浏览器上,script带有的标签type="text/html"不会作为 JavaScript 执行,所以它应该是安全的。所有浏览器都是这种情况吗?我担心的是,有些浏览器会在看到script标签时盲目地将代码作为 JavaScript 执行。