可以包含javascript的HTML属性_Javascript_Html

可以包含javascript的HTML属性

javascript html

可以包含javascript的HTML属性,javascript,html,Javascript,Html,我正在寻找一个包含所有html属性的简单列表，这些属性可以包含在执行操作时自动运行的javascript。我知道这在浏览器和版本之间会有所不同，但我宁愿更安全也不后悔。我目前知道以下javascript属性：onload，onclick，onchange，onmouseover，onmouseout，onmousedown和onmouseup 背景故事：我从一个不受信任的源中获取了一个完整的html文档，我想从原始html文档中删除所有可以运行的javascript，因此我删除了所有脚本标记以

我正在寻找一个包含所有html属性的简单列表，这些属性可以包含在执行操作时自动运行的javascript。我知道这在浏览器和版本之间会有所不同，但我宁愿更安全也不后悔。我目前知道以下javascript属性：

onload

，

onclick

，

onchange

，

onmouseover

，

onmouseout

，

onmousedown

和

onmouseup

背景故事： 我从一个不受信任的源中获取了一个完整的html文档，我想从原始html文档中删除所有可以运行的javascript，因此我删除了所有脚本标记以及在iframe中显示javascript之前可以保存javascript的任何属性。对于这种植入，没有服务器端处理，也没有沙箱化代码的方法，因为我需要运行在删除所有原始javascript后本地添加的javascript。

向下滚动至18.2.3内部事件

我在一个项目中也有类似的要求。也不要忘记剥离脚本元素。

在HTML属性中有两个地方可以使用Javascript：

任何

onEVENT

属性。我建议将上以

开头的任何属性都视为事件绑定，并将它们全部去掉


如果URI使用Javascript:
方案，例如href
和src
，则可以包含URI的任何属性都将作为Javascript执行。一份完整的清单在清单中
这不包括href=“javascript:…”
和src=“javascript:…”
我认为应该有一个简单的列表，但我找不到它。谢谢您的链接。请同时使用此链接：。否则你会错过很多全局事件处理程序。我还没有考虑过验证URI属性，你知道用Javascript进行验证的好方法吗？只需检查属性的值是否以Javascript:
开头。谢谢，我想我在css中仍然缺少一些攻击向量，但这是一个好的开始。我认为它在css中出现的唯一位置是允许url（…）
值的样式。因此，请查找url（javascript:…）
。这有点复杂，但我的主要问题是如何验证外部css文件。找到一些有用的信息并检查，您可能应该使用经过彻底测试的HTML消毒剂库。