如何在注射到体内之前对脚本进行消毒

How to sanitize script before injecting into body

本文关键字:脚本      更新时间:2024-01-28

我正在创建一个Firefox jetpack插件,它从API获取选项卡中打开的URL的数据。API以JSON格式返回数据。然后,我使用这些数据创建HTML标记,以便很好地显示它。然后,我将内容脚本文件中的HTML注入到打开的网站的主体中。这非常好,但当我将应用程序提交给Firefox商店进行审查时,由于数据未初始化,它被拒绝了。

如果我对它进行了消毒,它就会在注入中显示纯HTML。我没有<script>标记,但我对注入的脚本中的一些链接使用onclick函数。下面是一个示例代码,可以了解我想要实现的目标。

Main.js

// It gets data in JSON format
// I share this data with content script in an object
tab = tab.attach({
            contentScriptFile:  [require("sdk/self").data.url("jquery.min.js"),
                                require("sdk/self").data.url("contentscript.js")]
                    });
tab.port.emit('data', JSON.parse(JSON_STRING));

contentscript.js

// I get data from main.js and then make an html 
// then I inject it to the opened document
self.port.on('data', function(obj) {
 content = '<div id="test"><a href="http://www.example.com/'+obj.page+'" onclick="javascript: document.getElementById(''test'').style.display="none">Visit</a></div>';
 $('body').append(content);
});

我还在扩展中使用css样式。

有什么解决方案可以在不破坏功能的情况下对其进行消毒?感谢

我使用了Mozilla网站上的escapeHTML()函数,它解决了我的问题。这是代码及其用法:

var url = 'http://www.example.com'; // any internal/external variable
var content = '<div id="main_extension"><a href="'+escapeHTML(url)+'">Click Me</a></div>';
function escapeHTML(str) str.replace(/[&"<>]/g, function (m) escapeHTML.replacements[m]);
escapeHTML.replacements = { "&": "&amp;", '"': "&quot;", "<": "&lt;", ">": "&gt;" };

我的延期是用这种方法批准的。但是,如果使用jQueryDOM或任何其他方法进行数据注入,也可以使用其他方法。来源:https://developer.mozilla.org/en/XUL_School/DOM_Building_and_HTML_Insertion

相关文章: