我正在尝试构建一些小的小部件工具,供网站管理员嵌入到他们的网站中。
是否有任何方法,网站管理员可以通过包含像这样的脚本来简单地加载此工具?
<script src="http://mysite/widget.js"></script>
<div>one div</div>
<script>alert('some js')</script>
widget.js
function load(content) {
var $body = document.body,
$div = document.createElement("div");
$div.id = "widget";
$div.innerHTML = content;
$body.appendChild($div);
}
content变量包含HTML和JS,但注入时JS不会被执行。
由于您不知道脚本将被添加到或标签中,并因此不确定何时执行,因此需要确保DOM已经准备就绪:
function load(content) {
if (document.readyState === "complete" || document.readyState === "loaded") {
// manipulate DOM
} else {
document.addEventListener('DOMContentLoaded', function() {
// manipulate DOM
})
}
innerHTML 添加的脚本元素不会被执行,因此您必须使用 eval 或更好地创建一个类似于以下代码的脚本:var s = document.createElement('script');
s.text = "alert(\"hi\");"
document.getElementsByTagName('head')[0].appendChild(s);
<script>标签来执行一些脚本是没有意义的,因为当您添加DOM时,您的脚本已经在运行,所以请在那里进行所有必要的设置。widget.js 应该分成 js 和 html 两部分(模板)。使用 widget.js 中的代码初始化小部件的 js 部分,而不是模板中 <script> 标签内的代码,因为在那里放置它没有意义。如果你仍然想在 <script> 标签内放置代码,请查看 这个答案,其中展示了递归函数,用于替换所有 <script> 标签的出现。 - Max Koretskyieval,只需将js作为字符串传递eval('alert(“hello”)')。但是,由于它无法在严格的CSP下执行,因此eval()不是一个好的选择。此外,您仍然需要有单独的js和html代码,因为eval无法可靠地与html一起工作。 - Max Koretskyijs 放入 widget.js 中,并在 js 内部将模板存储在变量中。您可以开始处理它,然后提出另一个具体问题并在此处链接。 - Max Koretskyi请参考Maximus的答案。
没错,为了安全起见,默认的innerHTML不会执行JavaScript代码。
jQuery或zepto $.fn.append()可以满足您的需求,以下是原因(来自zepto源代码):
if (el.nodeName != null && el.nodeName.toUpperCase() === 'SCRIPT' &&
(!el.type || el.type === 'text/javascript') && !el.src)
window['eval'].call(window, el.innerHTML)
在函数$.fn.append中,您可以看到它会检查是否为脚本,如果是,则使用eval运行内容。您可能也需要eval,但要小心,因为有些网络管理员可能会传递恶意代码。
appendChild来执行脚本? - Max Koretskyi<script>alert('some js ')</script>。 - jiajianrongappendChild不执行脚本,而是使用innerHTML添加的<scripts>不会被执行。appendChild可以做到。请看我的回答。 - Max Koretskyi
contentHTML代码部分? - Armen