个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有以下 HTML 代码:
<script>
function x(){
test1 = '<script><!--';
test2 = '<script>';
}
alert(1);
</script>
<script>
alert(2);
</script>预期的输出是弹出两个警报:alert(1)和 alert(2) , 然而,它似乎是 <!-- comment 导致浏览器实际注释掉结束 </script>没有意义的标签!当我运行 document.getElementsByTagName("script")[0].text在控制台中我得到:
function x(){
test1 = '<script><!--';
test2 = '<script>';
}
alert(1);
</script>
<script>
alert(2);
</script>
对于这种奇怪的行为有解释吗?
谢谢!
最佳答案
从历史上看(20 多年前),程序员可以将他们的脚本代码包装在 HTML 注释标记、脚本元素内,以防止不支持脚本标记的浏览器在页面中显示脚本文本 body 。您仍然可以将忽略的 HTML 注释标记放在脚本上下文中的脚本周围:
<script>
<!--
alert(" inside HTML comment tags")
-->
</script>HTML 解析器还负责查找脚本结束标记 </script> ,因此它可以将 HTML 元素的文本内容传递给 Javascript 引擎进行语言解析。出于这个原因,您不能在不结束脚本 block 的情况下将未转义的“</script>”放入 javascript 内容(在字符串或注释中)——HTML 解析器首先查看文本。
HTML living standard列出一些关于如何避免问题的建议:
The easiest and safest way to avoid the rather strange restrictions described in this section is to always escape an ASCII case-insensitive match for "<!--" as "<\!--", "<script" as "<\script", and "</script" as "<\/script" when these sequences appear in literals in scripts (e.g. in strings, regular expressions, or comments), and to avoid writing code that uses such constructs in expressions. Doing so avoids the pitfalls that the restrictions in this section are prone to triggering: namely, that, for historical reasons, parsing of script blocks in HTML is a strange and exotic practice that acts unintuitively in the face of these sequences.
实际上,我发现开始标记在 JavaScript 中是可以接受的,因为 HTML 解析器正在寻找结束脚本标记,但如果它不能在所有浏览器中工作,我没有理由提示。
因此推荐的解决方案是在 JavaScript 代码中使用反斜杠转义 HTML 注释分隔符。更有趣的是,如果您在评论中关闭 HTML 评论,它也可以工作——代码按照编写的方式工作:
<script>
function x(){
test1 = '<script><!--'; // --> close HTML comment
test2 = '<script>';
}
alert(1);
</script>
然而,这符合我对陷入困境的定义,我建议按照标准中的建议转义注释分隔符。
TLDR;
<script>上个世纪,标签被引入到没有标签的 HTML 环境中(HTML2?),使用了两种技巧:
Web 作者被建议使用 HTML 注释定界符开始和结束脚本元素,也许还有 SGML cdata 部分声明,导致内联脚本标签如下所示:
<script type="text/javascript">
<!-- <![CDATA[
//script content here
// ]]> -->
</script>
这导致 HTML 解析器不知道脚本元素处理未知的文本内容 <script>标记为评论而不在页面内容中呈现。
这也意味着,在跳过寻找注释结束字符 (-->) 的 HTML 注释文本时,HTML 解析器会愉快地跳过结束脚本标记,否则这些标记将结束它知道的开始 SCRIPT 标记。
随着时间的推移和 HTML 标准的发展,网络作者不再包括 CDATA 内容声明、HTML 评论声明,最终导致今天使用的 HTML5 JavaScript 标签集的类型属性:
<script>
// script content here
</sript>
但是,为了不破坏网络,底层黑客从未消失。
知道 SCRIPT 标签的 HTML 解析器将标签的全部文本内容提供给 JavaScript 引擎 - 但仍会跳过未关闭的 HTML 注释中的结束脚本标签。 JavaScript 引擎也被黑客攻击,以有效地将 HTML 注释打开和分隔空白中的标记视为空白的一部分。 据我所知,这从未在任何地方记录过。您只能通过将脚本包含在外部脚本文件中的 HTML 注释标记内来推断黑客入侵,并注意到 Mozilla Firefox(改编自 Netscape Corporation 的代码库)不受影响。
发布的脚本在行设置 temp1 中启动了 HTML 解析器识别的 HTML 注释.然后 HTML 解析器尝试找到 HTML 注释的结尾(缺少)并认为脚本标记无效,因为它没有可检测的结束标记。如果文档的其余部分不包含 -->它也是 HTML 注释的一部分,脚本后面的任何正文内容也不会呈现。
关于javascript - javascript 字符串中带有 HTML 注释的奇怪行为,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61021548/
25
4
0
我需要将文本放在 中在一个 Div 中,在另一个 Div 中,在另一个 Div 中。所以这是它的样子: #document Change PIN
奇怪的事情发生了。 我有一个基本的 html 代码。 html,头部, body 。(因为我收到了一些反对票,这里是完整的代码) 这是我的CSS: html { backgroun
我正在尝试将 Assets 中的一组图像加载到 UICollectionview 中存在的 ImageView 中,但每当我运行应用程序时它都会显示错误。而且也没有显示图像。 我在ViewDidLoa
我需要根据带参数的 perl 脚本的输出更改一些环境变量。在 tcsh 中,我可以使用别名命令来评估 perl 脚本的输出。 tcsh: alias setsdk 'eval `/localhome/
我使用 Windows 身份验证创建了一个新的 Blazor(服务器端)应用程序,并使用 IIS Express 运行它。它将显示一条消息“Hello Domain\User!”来自右上方的以下 Ra
这是我的方法 void login(Event event);我想知道 Kotlin 中应该如何 最佳答案 在 Kotlin 中通配符运算符是 * 。它指示编译器它是未知的,但一旦知道,就不会有其他类
看下面的代码 for story in book if story.title.length < 140 - var story
我正在尝试用 C 语言学习字符串处理。我写了一个程序,它存储了一些音乐轨道,并帮助用户检查他/她想到的歌曲是否存在于存储的轨道中。这是通过要求用户输入一串字符来完成的。然后程序使用 strstr()
我正在学习 sscanf 并遇到如下格式字符串: sscanf("%[^:]:%[^*=]%*[*=]%n",a,b,&c); 我理解 %[^:] 部分意味着扫描直到遇到 ':' 并将其分配给 a。:
def char_check(x,y): if (str(x) in y or x.find(y) > -1) or (str(y) in x or y.find(x) > -1):
我有一种情况,我想将文本文件中的现有行包含到一个新 block 中。 line 1 line 2 line in block line 3 line 4 应该变成 line 1 line 2 line
我有一个新项目,我正在尝试设置 Django 调试工具栏。首先,我尝试了快速设置,它只涉及将 'debug_toolbar' 添加到我的已安装应用程序列表中。有了这个,当我转到我的根 URL 时,调试
在 Matlab 中,如果我有一个函数 f,例如签名是 f(a,b,c),我可以创建一个只有一个变量 b 的函数,它将使用固定的 a=a1 和 c=c1 调用 f: g = @(b) f(a1, b,
我不明白为什么 ForEach 中的元素之间有多余的垂直间距在 VStack 里面在 ScrollView 里面使用 GeometryReader 时渲染自定义水平分隔线。 Scrol
我想知道,是否有关于何时使用 session 和 cookie 的指南或最佳实践? 什么应该和什么不应该存储在其中?谢谢! 最佳答案 这些文档很好地了解了 session cookie 的安全问题以及
我在 scipy/numpy 中有一个 Nx3 矩阵,我想用它制作一个 3 维条形图,其中 X 轴和 Y 轴由矩阵的第一列和第二列的值、高度确定每个条形的 是矩阵中的第三列,条形的数量由 N 确定。
假设我用两种不同的方式初始化信号量 sem_init(&randomsem,0,1) sem_init(&randomsem,0,0) 现在, sem_wait(&randomsem) 在这两种情况下
我怀疑该值如何存储在“WORD”中,因为 PStr 包含实际输出。? 既然Pstr中存储的是小写到大写的字母,那么在printf中如何将其给出为“WORD”。有人可以吗?解释一下? #include
我有一个 3x3 数组: var my_array = [[0,1,2], [3,4,5], [6,7,8]]; 并想获得它的第一个 2
我意识到您可以使用如下方式轻松检查焦点: var hasFocus = true; $(window).blur(function(){ hasFocus = false; }); $(win
我是一名优秀的程序员,十分优秀!