1
oott123 2014-07-14 15:13:44 +08:00
这个需求很奇怪……你是怕网站被 xss 所以才这么做的么?
或许你可以选择用 js 清空掉所有的 onerror 属性, 或者尝试清除这个事件的监听? |
2
sneezry 2014-07-14 15:25:22 +08:00
CSP倒是可以废掉所有的inline script~
|
3
imn1 2014-07-14 15:26:39 +08:00
估计是写浏览器脚本(油猴、UC之类),之前我都有这需求
|
4
mckelvin 2014-07-14 21:03:58 +08:00 via Android
根本问题是要杜绝XSS入口。对于LZ的问题,所有外部输入的URL,都先判断下是否是一个合法的地址应该就能达到预期的目的了。
|
5
atian25 2014-07-15 09:29:29 +08:00
XSS的可以看下那几篇神文
|
6
rekey 2014-07-30 17:54:40 +08:00
重写 Element 对象的 prototype。。。
|