0
我非常清楚,我可以用消毒的innerHTML绑定的数据:奥里利亚:正确消毒的innerHTML绑定的数据
<div innerhtml.bind="someData | sanitizeHTML"></div>
但是,根据我的观察,这个消毒不仅能消除<script>
标签。它不保护从事件驱动的内容,例如用户:
"Hi! I am some HTML-formatted data from the server! <button onclick="getRekt();">Click me for butterflies!</button>"
有没有更好的办法,以防止任何类型的JavaScript或事件回调从元件上所呈现?
感谢您指点我正确的方向!服务器实际上是在进行消毒,我只是想要一个客户端的消毒器来提供更安全的防伪。 –