是否有一个指令可以放在HTML页面中以防止或限制JavaScript?
是否有一个可以放入HTML的指令来阻止所有JavaScript在该页面上运行?浏览器将看到此元数据或指令,然后基于此启用或禁用JavaScript 假设您希望创建一个类似Codepen的HTML游乐场,用户可以在其中键入HTML标记,并在另一个框架中显示,但您不希望他们运行JavaScript,或者希望根据权限限制它 我想要一种通过标记定义页面的方法,在这里我可以禁用Javascript,或者设置相同的原点或设置交叉原点是否有一个指令可以放在HTML页面中以防止或限制JavaScript?,javascript,html,Javascript,Html,是否有一个可以放入HTML的指令来阻止所有JavaScript在该页面上运行?浏览器将看到此元数据或指令,然后基于此启用或禁用JavaScript 假设您希望创建一个类似Codepen的HTML游乐场,用户可以在其中键入HTML标记,并在另一个框架中显示,但您不希望他们运行JavaScript,或者希望根据权限限制它 我想要一种通过标记定义页面的方法,在这里我可以禁用Javascript,或者设置相同的原点或设置交叉原点 <html> <head allowScript=&qu
<html>
<head allowScript="none">
</head>
</html>
<html>
<head allowScript="same-domain">
</head>
</html>
<html>
<head allowScript="remote-domain">
</head>
</html>
<html>
<head allowScript="all">
</head>
</html>
这样我就可以有一个页面,不允许加载JavaScript,只允许从同一个站点加载JavaScript,或者只允许JavaScript异地加载,或者允许同一个站点和远程加载
这有意义吗?我知道有一些浏览器扩展可以处理所有这些,但我需要一个页面指令。我想你要找的是“内容安全策略”,它可以通过HTTP响应头或index.htm中的元标记来设置 例如
<meta http-equiv="Content-Security-Policy" content="default-src https:">
内容安全策略是一个庞大而复杂的课题,最好由专家根据
您应该清理用户输入。还可以在iframe中运行用户代码,这样他就无法访问外部页面。