1
我想构建一个内容编辑器。这个contenteditor会将一个HTML文档(带有JavaScript)加载到例如#result元素中。问题在于,如果在这个HTML元素中有例如$("input").hide();,那么我的所有输入都会在整个页面中消失,所以不仅仅在加载的HTML(我的目标)中。如何沙盒div元素?
我想与编辑器做的是当客户点击,它表示数据库的东西一个元素,该元素的信息将弹出,用户将能够编辑。 (因此,如果用户将鼠标悬停与类“接触型”(这是在数据库中的一个形式中,连接到加载的页)的新窗口将有关此特定形式的元素信息弹出。
此外,我不能完全禁用Javascript,因为加载的HTML可能包含Javascript的样式等。
我的目标:删除Javascript,当用户加载HTML文件时可能会很烦人。此外,删除了Javascript功能来编辑之外它自己的DOM somehthing的能力。
PS我开赌这种变通方法就像为此使用iframe,但我希望能够将鼠标悬停在与它们交互的元素上。
编辑:看来这个问题可能有点过于宽泛,看着评论。 我的问题摘要:如何禁用特定div的alert()以及如何创建沙箱,以便div内的代码只能从该div内部更改元素。
请张贴一些代码。以及你正在面临的问题。 –
你不需要在这种情况下沙盒这个div。寻找SQL注入,这是完全一样的..至少是原因。所以要避免这种情况,请使用用于避免sql注入的方法。 –
另外,当你捕捉到这个可编辑的内容时,将所有特殊字符转换为它们各自的html实体.. google for html entities –