我用一个巨大的无格式文本文件组成了一个大的 HTML 文件。现在我担心的是文本文件可能包含一些恶意的 javascript 代码。为了避免任何损坏,我扫描文本并将任何 < 或 > 替换为 lt 和 gt。这非常有效,但对性能来说并不是很好。
是否有一些标签或属性或任何允许我在 HTML 文件中关闭 javascript 的东西?也许在标题中?
由于您已考虑将所有<和替换>为 HTML 实体,因此发送Content-Type: text/plain标头是一个不错的选择。
如果您想要显示文件的内容,则替换每个by&就足以正确显示文件的内容。示例:
输入:输出:未修改的输出,在浏览器中显示:(解释为 HTML)&<<Huge wall of text 1<a2 &>1
Huge wall of text 1<a2 &>1
Huge wall of text 11<..>
如果您无法在后端(服务器端)修改代码,则需要一个 HTML 解析器来清理您的代码。JavaScript 并不是唯一的威胁,嵌入内容(<object>、<iframe>、 ...)也可能非常恶意。查看以下答案,了解非常详细的 HTML 解析器和清理程序:
我可以将整个 HTML 文档加载到 Internet Explorer 中的文档片段中吗?