J'utilise le titre d'attribut HTML pour régler certains paramètres comme ceci:Pourquoi l'attribut html est-il retourné en tant que 'htmldecoded' même s'il est codé en source html?
<a href... title="Go to next chapter">Go</a>
Ensuite, le plugin jquery passe par tous les attributs [titre] et fait infobulles jolies. Très simplifié une nouvelle div est créé pour le lien ci-dessus
<div style="position:absolute...">Go to next chapter</div>
Le problème est que le titre est modifiable par l'utilisateur, de sorte qu'il peut écrire ce qu'il veut. J'ai d'abord pensé que l'encodage html est bien, mais il s'est avéré que j'avais tort. Si je
<a id="a" title="<script>alert(10);</script>">Go</a>
alors la div infobulle ressemble à ceci:
<div style="position:absolute..."><script>alert(10)</script></div>
1) Pourquoi navigateur décode l'attribut title lors de l'interrogation de sa valeur?
2) Et comment puis-je le résoudre? (Je sais qu'une solution est à double codage html, mais il est awfull)
Comment tester: considérer ce code
<html>
<body>
<!-- encoding once, this doesn't work -->
<a id="a" title="<script>alert(10);</script>">atitle</a>
<!-- encoding twice, this works -->
<a id="b" title="&lt;script&gt;alert(10);&lt;/script&gt">btitle</a>
<script>
function w(x){ document.write(x.attributes["title"].value);}
w(a); // shows alert
w(b); // outputs it correctly into the page
</script>
</body>
</html>