Javascript [Element].onXXX是否可以用于创建一个非平凡的黑客问题？

我有一项技术，用户可以创建HTML页面。提交脚本时，我会从外部检查页面上的脚本库（

），以确保它们是安全的，并且没有包含内容的标记

---

我的问题是：

[Element].onXXX

事件能否用于加载/激活跨站点脚本或其他同样糟糕的事情？我昨天尝试过测试，但只能得到[Element].onClick来执行1个函数。这是否足以让潜在的恶意代码滑入其中？恶意，我指的是网络钓鱼、数据盗窃等。不是一个相对无害的弹出警报。

您可以将任意JavaScript代码放入

onXXX

属性中。它可以包含由

分隔的多个语句。因此，您可以使用以下命令执行与顶级
标记等效的操作：

<body onload="entire contents of script">
...
</body>


...

例如，那里的脚本可能会创建一个网络钓鱼页面。
@Pointy我已经更新了我的问题，试图回答您的问题。如果你还不清楚攻击向量在哪里，你能告诉我吗？如果你允许人们提供“代码> >代码>标签作为内容的一部分，那么通常很难保证脚本不做你不想做的事情。现在，我不知道那到底是什么；谁可以查看创建的页面？@Pointy我目前不允许用户提交脚本标记，但理论上，我可以添加一个检查程序，确保脚本标记的内容与您实际问题中的预期相符：“我从外部检查脚本库”。。。当然，听起来您确实允许脚本作为内容的一部分。您指的是
[Element].onXXX
吗。它确实可以执行任意代码，并且可以执行由
分隔的许多语句。