分析具有内联事件处理程序的HTML
Parse HTML which has inline event handler
我正在构建一个chrome扩展,其中我需要从网页中获取和解析一些html。为此决定使用jquery。
$(htmlString).find(".some-table");
问题是我在运行此代码时收到以下警告。
拒绝执行内联事件处理程序,因为它违反了以下内容安全策略指令:"script src'self'chrome扩展资源:"。启用内联执行需要"unsafe-inline"关键字、哈希("sa256-…")或nonce("once-…")。
"htmlString"似乎包含一些内联事件处理程序,在解析它时,chrome抛出了这个警告
我无法控制"htmlString"中的内容,只需要从中检索一些信息。有更好的方法吗?
使用显式$.parseHTML()
。引用文档:
大多数接受HTML字符串的jQueryAPI都会运行HTML中包含的脚本。除非
keepScripts
明确为true,否则jQuery.parseHTML
不会在解析的HTML中运行脚本。
然而,即使这样做也不安全。
然而,在大多数环境中仍然可以间接执行脚本,例如通过
<img onerror>
属性。调用方应该意识到这一点,并通过清除或转义URL或cookie等来源的任何不受信任的输入来防范。
因此,虽然它可能有助于特定的输入,但您应该考虑这样显式创建DOM节点是否是您真正需要的。它可能会造成各种令人讨厌的边缘案件。
相关文章:
- keyup事件处理程序更改焦点不适用于快速键入
- 提示使用服务器端事件处理程序激活JavaScript
- 将事件处理程序绑定到任何可能的事件
- 正在将事件处理程序添加到不存在的类
- 在循环中附加事件处理程序时出现浏览器性能问题
- 在同一个javascript事件处理程序中调用不同的函数
- 有没有一种方法可以让内联事件处理程序在元素创建后立即执行
- 检查事件处理程序参数
- 实现延迟的jquery更改事件处理程序
- 如何使用Node.js在JavaScript模块文件之间使用事件处理程序
- 如何使jQuery的“bind”或“on”事件处理程序幂等
- 带有参数的Javascript事件处理程序
- Jquery事件处理程序仅适用于匿名函数
- 如何从另一个处理程序内部取消JavaScript事件处理程序函数的执行
- 如何在jQuery事件处理程序中存储和重用超时
- 如何向onClick事件处理程序传递一个接受参数的函数,并且仍然将该函数绑定到组件's”;这个“;上下文
- 异步处理所有事件处理程序的方法
- jsplumb中的Click事件处理程序丢失“;这个“;对象
- 构造函数中的事件处理程序与构造函数外的事件处理函数的行为不同
- 如何在事件处理程序的回调中防止Default