它是100%安全做到以下几点?:是否100%安全地执行以下操作?
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
考虑到第三方可以输入任何东西(HTML,CSS等),我可以肯定它不会,如果做任何伤害我通过createTextNode
然后将它添加到dom中?
是*任何*永远“100%安全”? – Spudley
也许99.9%呢? :) – Polar
可能的重复:http://stackoverflow.com/questions/476821/is-a-dom-text-node-guaranteed-to-not-be-interpreted-as-html –