我正在尝试找出所有可以编写 javascript 的方式。我正在制作可接受标签的白名单,但是这些属性让我很着迷。
在我丰富的 html 编辑器中,我允许链接之类的东西。
<a href="">Hi </a>
现在我正在使用 html 敏捷包来摆脱我不支持的属性和 html 标记。
但是我仍然不清楚一个人是否可以做这样的事情
<a href="<script>alert('hi')</script>">Bad </a>
所以我不确定我是否必须开始查看我支持的所有属性的内部文本并对它们进行 html 编码?或者如果什么。
我也不确定如何防止进入某个页面并在加载时启动一些 javascript 的 html 链接。
我不确定白名单是否可以阻止该名单。