0

我可以做些什么来确保我的代码是安全的?我来自 Mozilla 的插件已经过验证,但显然这条线是不安全的:

if (p.getElementById("bluebarholder"))
  p.getElementById("top").setAttribute('onclick', 'window.open("http://www.facebook.com","_self")');

我不知道是什么问题或如何解决,因为他们还没有回复我的消息。

4

1 回答 1

1

这是“eval is evil”的一个例子。
您将字符串作为事件处理程序传递,迫使浏览器启动 Javascript 解析器来评估字符串。

相反,您应该调用addEventListener将函数添加为处理程序。

于 2012-12-22T23:56:34.713 回答