Javascript 不使用类型为“的脚本标记”;text/html";在任何浏览器中执行?
我正在设置一个web应用程序,允许一些用户创建插件。这些插件可能包含由JavaScript呈现的客户端模板。模板代码放置在带有Javascript 不使用类型为“的脚本标记”;text/html";在任何浏览器中执行?,javascript,html,templates,cross-browser,Javascript,Html,Templates,Cross Browser,我正在设置一个web应用程序,允许一些用户创建插件。这些插件可能包含由JavaScript呈现的客户端模板。模板代码放置在带有type=“text/html”标记的脚本中,与模板一样 我担心有人会试图编写包含XSS攻击的插件,包括实际的JavaScript代码,而不仅仅是模板代码。我知道,在当前浏览器上,带有type=“text/html”的script标记不会作为JavaScript执行,因此应该是安全的。所有浏览器都是这样吗?我担心的是,有些浏览器在看到脚本标记时会盲目地将代码作为JavaS
type=“text/html”
标记的脚本中,与模板一样
我担心有人会试图编写包含XSS攻击的插件,包括实际的JavaScript代码,而不仅仅是模板代码。我知道,在当前浏览器上,带有type=“text/html”
的script
标记不会作为JavaScript执行,因此应该是安全的。所有浏览器都是这样吗?我担心的是,有些浏览器在看到脚本
标记时会盲目地将代码作为JavaScript执行。这就是文档,这就是它的工作原理。最好的确定方法是测试它,但所有主要浏览器的行为都是正确的。谢谢!你有指向你所指文档的链接吗?@alexsanford1-和