我知道有一个类似的问题 - 不过那是三年前的事了,有关text/tcl的评论似乎没有引起讨论。
你知道在实现客户端模板时应该使用哪个版本:
<script type="text/template">、<script type="text/tcl">还是<template>?
<script>标签,因此出于安全考虑,text/template可能会被一些代理服务器或杀毒软件过滤掉?text/tcl有什么缺点吗?<template>并通过document.createElement("template")创建元素是否安全?非常感谢您的帮助。
我从未听说过安全软件攻击特定的 <script> 类型;我的所有经验都是与那些破坏任何他们看到的 <script> 的“安全”软件有关。一些研究没有进一步发现,但他们可能在不好的IE6-COM利用日子里针对VBScript之类的东西。
text/tcl 意味着 Tcl语言, 这是W3C选择的一种旧的Web脚本语言,而不是JavaScript。(这背后有一个漫长的故事,解释了为什么DOM如此糟糕。)
确实有人在实现它方面做了工作,但我找不到任何一个浏览器实现了这个功能。有一个Tcl浏览器插件,但它的演示使用application/x-tcl,所以即使是那个运行着十年前的浏览器和不可取的插件选择的家伙,也可能什么都不会发生。
我知道的唯一效果就是旧版Internet Explorer会在<script>上查找未知type值的处理程序。(这在HTML5的新<script type="module">中出现过,但我找不到正确的邮件列表/GitHub问题/聊天记录/WHATWG发现它的地方。)他们决定可以忽略它(得到了Edge团队的支持)。
它相对安全,但要注意,在被修复的<template>内部的标记仍将执行;src属性将加载(即使它们是空的),<script>将运行,<style>将样式化,等等。