【发布时间】:2016-04-05 09:15:23
【问题描述】:
我正在为一个框架编写一个服务器端函数,它可以让我内联一个 Javascript 文件。它将文件名作为输入,它的输出是这样的:
<script>
/* contents of Javascript file */
</script>
如何安全地转义 Javascript 文件的内容?
如果文件包含</script> 之类的内容,我会特别担心。如果输入的 Javascript 文件有语法错误,我仍然希望它正确转义。我还意识到 XHTML 需要对某些实体进行编码,而 HTML 不需要。
有很多类似的问题询问how to escape string literals or JSON。但是我想要一些可以处理一般情况的东西,这样我就可以为一般情况编写一个工具。
(我意识到内联可能不受信任的 Javascript 并不是最好的主意,所以没必要花时间讨论这个问题。)
【问题讨论】:
-
您始终可以使用数据 URI:
<script src="data:application/javascript,...">
标签: javascript html xhtml