
1 oott123 2014 年 7 月 14 日 这个需求很奇怪……你是怕网站被 xss 所以才这么做的么? 或许你可以选择用 js 清空掉所有的 onerror 属性, 或者尝试清除这个事件的监听? |
2 sneezry 2014 年 7 月 14 日 CSP倒是可以废掉所有的inline script~ |
3 imn1 2014 年 7 月 14 日 估计是写浏览器脚本(油猴、UC之类),之前我都有这需求 |
4 mckelvin 2014 年 7 月 14 日 via Android 根本问题是要杜绝XSS入口。对于LZ的问题,所有外部输入的URL,都先判断下是否是一个合法的地址应该就能达到预期的目的了。 |
5 atian25 2014 年 7 月 15 日 XSS的可以看下那几篇神文 |
6 rekey 2014 年 7 月 30 日 重写 Element 对象的 prototype。。。 |