我设计了一个包含许多 JavaScript 块的网站:
<script type='text/javascript'></script>
用户可以发布到我的页面,恶意用户可以将脚本块发布为帖子。我想要的是将用户帖子中的脚本块视为text而不是code。
我知道我可以验证输入并过滤掉<script>块,但是为了满足我的好奇心,有没有办法阻止特定<script>标签在页面加载后运行?
问问题
597 次
我设计了一个包含许多 JavaScript 块的网站:
<script type='text/javascript'></script>
用户可以发布到我的页面,恶意用户可以将脚本块发布为帖子。我想要的是将用户帖子中的脚本块视为text而不是code。
我知道我可以验证输入并过滤掉<script>块,但是为了满足我的好奇心,有没有办法阻止特定<script>标签在页面加载后运行?