Javascript 不使用类型为“的脚本标记”；text/html"；在任何浏览器中执行？_Javascript_Html_Templates_Cross Browser

Javascript 不使用类型为“的脚本标记”；text/html"；在任何浏览器中执行？

javascript html templates

Javascript 不使用类型为“的脚本标记”；text/html"；在任何浏览器中执行？,javascript,html,templates,cross-browser,Javascript,Html,Templates,Cross Browser,我正在设置一个web应用程序，允许一些用户创建插件。这些插件可能包含由JavaScript呈现的客户端模板。模板代码放置在带有type=“text/html”标记的脚本中，与模板一样我担心有人会试图编写包含XSS攻击的插件，包括实际的JavaScript代码，而不仅仅是模板代码。我知道，在当前浏览器上，带有type=“text/html”的script标记不会作为JavaScript执行，因此应该是安全的。所有浏览器都是这样吗？我担心的是，有些浏览器在看到脚本标记时会盲目地将代码作为JavaS

我正在设置一个web应用程序，允许一些用户创建插件。这些插件可能包含由JavaScript呈现的客户端模板。模板代码放置在带有

type=“text/html”

标记的

脚本中，与模板一样
我担心有人会试图编写包含XSS攻击的插件，包括实际的JavaScript代码，而不仅仅是模板代码。我知道，在当前浏览器上，带有type=“text/html”
的script
标记不会作为JavaScript执行，因此应该是安全的。所有浏览器都是这样吗？我担心的是，有些浏览器在看到脚本
标记时会盲目地将代码作为JavaScript执行。
这就是文档，这就是它的工作原理。最好的确定方法是测试它，但所有主要浏览器的行为都是正确的。
谢谢！你有指向你所指文档的链接吗？@alexsanford1-和