问:注入包含javascript的HTML的最佳实践是什么?
用于在页面中加载内容的脚本:
elmnt = document.getElementById("contentcontainer");
elmnt.innerHTML = this.responseText;
页面:
Welcome to our restaurant!
<div id="contentcontainer"></div>
Responsetext:
<div>
The menu for today:
<script> Script to
我正在为我的页面带来一串html,我认为它是html安全的,除了脚本标记。我知道三重大括号将脱离html,省略任何脚本标记的步骤是什么?
示例
var foo = "<h1>Foo</h1><script>some script that might possibly be in here</script><p>bar</p>
然后在我的.hbs中:
{{{foo}}}
我希望看到h1和段落,但没有脚本。
提前谢谢。
在HTML5 中,我读到了这个“如果脚本嵌套级别不是零:...Otherwise,...”。似乎支持嵌套的脚本标记。
但是,使用嵌套脚本标记的真实示例是什么呢?像下面这个吗?
<script>
document.write("<script> alert('I\'m in your head!')</script>");
</script>