0
이것은 바보 일 수 있습니다. 하지만 나는 웹 사이트에 '일부 HTML'을 허용하려고 노력하고있다. (오케이, 아마도 나쁜 생각이다.) 그러나 논증의 목적으로 ...HTML 속성 사이의 유효한 문자
속성과 '='기호 사이에 공백을 넣을 수있는 공백이 없으며 여전히 최신 브라우저에서 속성을 해석 할 수 있어야합니다.
즉, 사용자가 입력하는 경우 :
<img src="pic1.jpg" width=50 height=50 onClick='alert("Hi");'>
은 '온 클릭'후하지만 '='기호 앞에 나타날 수 있으며 여전히 큰 이름을 브라우저의에서 자바 스크립트 경고 메시지를 실행 한 모든 문자 (들), 거기에 공백 외에 들어가는가?
예를 들어- 나 '& NBSP'을 삽입 시도 (그리고 실패) ...
하지만 놓칠 수있는 무언가를 중간에 끼워 넣는 또 다른 영리한 방법이있다.
'올바르게 렌더링'이라고 말하면 엄청난 순열이 들릴 것입니다. – fncomp
@Rob HTML을 파서로 파싱하고 있습니까? 아니면 정규식 또는 다른 가정용 양조 솔루션을 사용하고 있습니까? – Ziggy
@Ziggy - 솔직히이 시점에서 가설적인 단계입니다. 나는 아무것도 구현하지 않았다. 많은 HTML 태그를 허용하면서 Javascript를 방지하는 상대적으로 쉬운 방법을 생각하려고했습니다. –