为什么CDATA不能保护我的javascript代码不受HTML验证器的影响?
CDATA(Character Data)是一种在XML和XHTML文档中用于标记纯文本数据的语法结构。它的作用是告诉解析器该部分内容不应被解析为标签或实体,而应作为纯文本处理。
然而,尽管CDATA可以保护包含在其中的文本数据不受HTML验证器的影响,但它无法保护JavaScript代码不受HTML验证器的影响。这是因为HTML验证器只负责验证HTML标记的正确性,而不会解析或执行其中包含的JavaScript代码。
当浏览器解析HTML文档时,会按照特定的规则处理其中的JavaScript代码。无论是否使用CDATA包裹,浏览器都会尝试解析和执行JavaScript代码。因此,HTML验证器不会影响JavaScript代码的执行。
要保护JavaScript代码不受HTML验证器的影响,可以采取其他措施,如使用服务器端验证、输入过滤和输出编码等安全措施来防止跨站脚本攻击(XSS)等安全漏洞。此外,还可以使用内容安全策略(Content Security Policy)来限制JavaScript代码的执行范围和权限,从而提高网页的安全性。
总结起来,虽然CDATA可以保护文本数据不受HTML验证器的影响,但无法保护JavaScript代码。为了保护JavaScript代码的安全性,需要采取其他安全措施。
相关·内容
0回答
为什么CDATA不能保护我的javascript代码不受HTML验证器的影响?
javascript、cdata、html-validation
我在我的网页中插入了一些js代码(由第三方服务提供),它破坏了我的html验证。我如何解决这个问题?CDATA没有做到这一点。这是我的示例代码片段:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional/
浏览 8提问于2017-01-04得票数 4
回答已采纳
5回答
XHTML不会在JavaScript函数中验证&和<
javascript、xhtml-1.0-strict
下面是无法验证的代码片段:它会得到以下错误:
XML解析错误: xmlParseEntityRef用&和<替换上面的符号是很好的,但是当然它完全破坏了函数。
浏览 5提问于2009-10-03得票数 15
回答已采纳
6回答
条件注释和有效的XHTML
html、zend-framework、xhtml、conditional-comments
给定代码(看起来应该是有效的):<![endif]-->
我不太确定到底怎么回事。这是“嵌套”注释吗
浏览 6提问于2009-06-04得票数 4
回答已采纳
2回答
在服务器端不触发JavaScript和ASP.NET验证器
javascript、asp.net、.net、validation
在我的网站上,当我关闭JavaScript时,ASP.NET验证器不会像我预期的那样在服务器端触发。
例如,当我关闭JavaScript时,所需的字段验证器不会触发。我认为内置ASP.NET验证器的好处之一就是保护自己不受这种情况的影响,所以我很困惑。
浏览 0提问于2013-03-08得票数 0
2回答
为什么我的网站不验证?
javascript、html、validation
我正在通过W3C HTML ()运行我的站点,尽管我收到了一个非常奇怪的错误。这只是我网站的<head>中的一小部分Javascript。这是代码:var pathName = window.location.pathname;
var pageName = pathName.su
浏览 3提问于2014-01-02得票数 2
回答已采纳
5回答
如何在javascript字符串中转义一个“与”符号,以便页面将验证strict?
javascript、jquery、ajax、w3c-validation
我尝试使用JQuery将一个dataString传递给一个ajax调用。在调用中,我构造了get参数,然后将它们发送到接收端的php页面。问题是数据字符串中有与号,而HTML严格验证器正在阻塞它。代码如下: $("input#email").focus();
浏览 0提问于2008-12-10得票数 31
回答已采纳
2回答
使用TinyMCE时对XSS的防护
tinymce、xss
关闭Javascript并输入恶意代码是一件容易的事情,当另一个具有Javascript的用户打开访问内容时,恶意代码就会呈现出来。因此,我需要使用适当的服务器端验证,但考虑到数以千计的XSS技术,我如何才能正确地做到这一点?到目前为止,我已经为允许的HTML标记做了一个白名单,替换了内容中的任何jav
浏览 2提问于2011-07-28得票数 7
1回答
使用IIS基本身份验证的OWIN身份验证
asp.net-mvc、iis、owin
我创建了一个新的ASP.NET MVC 5应用程序,它具有Visual 2013和Owin中间件提供的默认访问控制。我启用了IIS上的基本身份验证(禁用所有其他身份验证),以保护站点不受没有我在Windows上创建的用户/密码的人的影响。它导致浏览器中的“重定向循环”。
知道为什么吗?如何在不更改<e
浏览 1提问于2014-07-23得票数 6
回答已采纳
1回答
使用JavaScript应用regexp进行用户输入验证
web-application、malware、appsec、sql-injection
作为一个完整的开发人员,我正在为网球俱乐部开发一个编解码器框架的网络应用程序。在客户端制作html表单和编写脚本以验证用户输入时。我认为使用regexp保护我的user应用程序不受sql注入和跨站点脚本(Xss)的影响是个好主意,并验证您的用户输入数据。所以我的问题是:-我应该认为我<
浏览 0提问于2018-07-07得票数 0
回答已采纳
1回答
Umbraco 7属性级别的访问权限
umbraco、umbraco7
我认为这不能开箱即用,但有没有办法保护CMS中的某些属性或属性的整个选项卡,以便只有具有选定角色或权限的编辑者才能编辑它们,而标准用户则不能(尽管他们可以很高兴地编辑其他不受保护的属性)。我们希望保护某些内容不受意外更改的影响。这个是可能<
浏览 3提问于2016-05-04得票数 2
14回答
在脚本标记中什么时候需要CDATA部分?
javascript、html、xhtml、cdata
在脚本标记中是否需要CDATA标记,如果是的话,什么时候需要?<script type="text/javascript">...code...</script><script type="text/javascript"><&
浏览 14提问于2008-09-15得票数 958
回答已采纳
2回答
W3C将javascript中的html标记显示为错误。
javascript、html、xhtml、w3c-validation
在W3C验证器中获取一个错误。我使用查询追加一个html语句。但是,我在W3C中得到了这个错误:
$(<td class="first-colu…) $('<tr id="condition' + num + '" class="clo
浏览 0提问于2012-06-29得票数 0
1回答
我可以不验证令牌而实现Recaptcha V3吗?
javascript、recaptcha、grecaptcha
Google V3文档显示实现最简单的方法是使用他们所称的“自动将挑战绑定到一个按钮”。总之,文档中的示例是不安全的,还是只是缺少了服务器端验证部分?
浏览 2提问于2021-07-16得票数 0
回答已采纳
1回答
我知道webstorage很容易受到xss的攻击让我困惑的是,它似乎含蓄地说cookie不容易受到xss的攻击,但它也不容易受到xss的攻击吗?如果我可以在别人的浏览器上运行一个脚本,我想我可能只需要向服务器发送请求&获取重要的数据,因为浏览器会自动附加cookie&我不需要
浏览 0提问于2018-04-05得票数 0
1回答
将站点的身份验证cookie摘要用于CSRF
javascript、c#、angularjs、asp.net-web-api、csrf
我想保护我的WebApi端点不受CSRF的影响。recommends建议使用带有盐的站点身份验证cookie摘要,以增加安全性。我不知道与随机标记相比这里有什么优势。此外,您如何保护登录页面?下面是为什么您需要保护登录页面的原因
浏览 3提问于2015-11-12得票数 0
回答已采纳
1回答
忽略maxLength的最佳解决方案
html、mobile、browser、maxlength
但是我遇到了用户可以输入超过19个字符的情况。( xperia上的移动浏览器,而其他一些手机运行良好.)
解决这个问题最好的办法是什么?
浏览 2提问于2014-11-02得票数 0
回答已采纳
1回答
网站中发送者身份的验证
sql、encryption、validation
几天前,当我设计了一个HTML表单,通过php将数据提交到SQL数据库时,我开始思考这个问题。我解决了我的问题,但我在这里问一个计算机理论问题,这可能会对我(或其他人)在未来有所帮助。我想保护自己不受的影响,我认为与其在服务器端由php验证数据,不如让javascript在客户端验证数据(我在
浏览 2提问于2012-10-16得票数 0
回答已采纳
1回答
如果使用JWT,我需要CSRF吗?
security、authentication、csrf、single-page-application、jwt
我已经设置了一个单页网站,使用JWT身份验证用户登录。它使用angularjs和ui-router来导航页面。
我是否也需要CSRF保护,或者我是否可以只使用JWT令牌来保护仅限管理的区域?
浏览 1提问于2015-06-16得票数 1
1回答
访问-控制-允许-起源是否足以防止XSRF攻击?
java、angularjs、spring、security、csrf
我们正在构建一个在JBoss中运行的Java /Hibernate后端应用程序。前面是AngularJS。XMLHttpRequest cannot load http://localhost:8080/user/delete.服务器端没有设置对响应设置访问控制-
浏览 0提问于2014-10-22得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
