Je suis parfaitement conscient que je peux aseptiser des données liées à l'aide innerHTML:aurelia: correctement désinfectante données liées innerHTML
<div innerhtml.bind="someData | sanitizeHTML"></div>
Cependant, d'après mes observations, cette aseptisation ne supprime que <script>
tags. Il ne protège pas l'utilisateur de contenu événementiel tels que:
"Hi! I am some HTML-formatted data from the server! <button onclick="getRekt();">Click me for butterflies!</button>"
Y at-il une meilleure façon d'éviter tout type de javascript ou callbacks événement d'être rendu sur l'élément?
Merci de m'indiquer dans la bonne direction! Le serveur fait réellement la désinfection, je voulais juste un désinfectant côté client pour une sécurité plus infaillible. –