有没有办法在特定的div中禁用所有JavaScript?
我最初认为<noscript>
标签是用于此目的,但事实证明我错了。
这是我要找的内容:
<some-sort-of-tag-here>
<script>
alert('test');
</script>
</some-sort-of-tag-here>
将被呈现为:
<script>
alert('test');
</script>
不要执行脚本。这将防止任何形式的XSS,其他外部JavaScript(已包含在头部)将能够修改给定的标记。
我可能完全错误,这样的标记可能根本不存在,但请帮助我解决问题。我觉得这样的标记将是XSS最简单的解决方案。无需担心标记内执行任何脚本(这意味着所有用户内容都可以包装在该标记中),而所有网站包含的javascript将能够根据需要修改页面内容。
如何创建一个标记,在其中所有内容都被视为纯HTML,而不执行任何形式的JavaScript?