如何禁止javascript执行
How to forbid javascript execution?
我得到了一个站点,其中有一个来自远程服务器的AJAX加载代码块。如何禁止执行可能来自远程服务器的代码?"noscript"标签真的足够吗?
我认为我们不应该关注</noscript><script>...</script>即将到来的情况。
提前感谢!
如何禁止执行可能来自远程服务器的代码?
向您自己的服务器发出Ajax请求。向您的远程服务器请求数据。通过HTML解析器和白名单(XSS过滤器)运行它。然后将其返回给客户端。
"noscript"标签真的足够吗?
如果浏览器不支持JS,noscript提供了浏览器应该忽略的内容。它不提供任何类型的沙箱。
您可以(使用选择器)通过ajax加载来定位要加载的特定元素。举个例子(希望这不会令人困惑,但现在是这样):
http://jsbin.com/efazun/2-(第1页)有一个警报,在加载页面时显示"你好世界"。
http://jsbin.com/ezewep/4/edit(第2页)-使用jquery加载第1页,显示hello world(加载时执行脚本-不好)
http://jsbin.com/ezewep/2/edit(第3页)-使用jquery load加载第1页,但仅针对文本,不执行任何脚本(没有hello world消息)。
有关更多信息:http://api.jquery.com/load/
相关文章:
- JavaScript执行暂时挂起页面
- 页面在我的javascript执行后重新加载,我不希望它这样做
- 如何在使用jQuery.html()时防止javascript执行
- 如何打开一个新窗口或选项卡,并将其提供给javascript执行
- 如何在Ajax加载新内容时停止JavaScript执行
- 如何使用xpath和Javascript执行器打印文本
- cakehp2.x用javascript执行控制器
- 如何在不使用javascript执行的情况下为函数分配参数
- Javascript执行顺序错误
- Javascript执行顺序和回调
- 如何在Javascript执行后防止浏览器锁定
- JavaScript执行从函数声明开始,而不是从$(document).ready()开始
- 在asp.net页面中显示javascript执行过程中的加载图标
- 基于浏览器窗口大小的条件 JavaScript 执行
- 使用 JavaScript 执行一行 PHP(不包括 PHP 文件)
- Dom 解析和 JavaScript 执行
- 为什么通过javascript执行php可以工作
- JavaScript执行路径
- 从javaScript执行服务器端代码
- 如何使用Javascript执行客户端web抓取
