Я пытаюсь выяснить все способы написания javascript.Я делаю белый список допустимых тегов, но атрибуты меня достают.
В моем богатом html-редакторе я разрешаю такие вещи, как ссылки.
<a href="">Hi </a>
Теперь я использую html agility pack дляизбавиться от атрибутов, которые я не буду поддерживать, и HTML-теги по этому вопросу.
Однако мне все еще неясно, может ли человек сделать что-то подобное
<a href="<script>alert('hi')</script>">Bad </a>
Так что я не уверен, еслиЯ должен начать смотреть на внутренний текст всех атрибутов, которые я поддерживаю, и HTML кодировать их?Или если что.
Я также не уверен, как предотвратить HTML-ссылку, которая переходит на какую-то страницу и запускает некоторый JavaScript при загрузке.
Я не уверен, что белый список может остановить этоодин.