我正在设置一个允许一些用户创建插件的Web应用程序.这些插件可能包含由
JavaScript呈现的客户端模板.模板代码放在一个带有type =“text / html”的脚本标签中,与
iCanHaz.js模板一样.

我担心的是,有人会尝试通过包含实际的JavaScript代码而不仅仅是模板代码来编写包含XSS攻击的插件.我知道在当前的浏览器中,type =“text / html”的脚本标签不能作为JavaScript执行,因此它应该是安全的.所有浏览器都是这种情况吗？我担心的是,有些浏览器会在看到脚本标记时盲目地将代码作为JavaScript执行.

最佳答案 这是文档,它应该是如何工作的.确定的最佳方法是测试它,但所有主流浏览器的行为都正确.