开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

什么时候把‘`javascript：’URL(伪协议)引入HTML标准的？

javascript: URL（伪协议）是一种特殊的 URL 格式，用于在 HTML 中执行 JavaScript 代码。它可以在 HTML 标签的事件处理程序中使用，例如在链接的 href 属性中或在按钮的 onclick 属性中。

javascript: URL 在 HTML 标准中被引入的时间是在第一个 HTML 标准（HTML 2.0）发布时，即1995年11月24日。这个伪协议的引入为开发人员提供了一种在 HTML 中直接执行 JavaScript 代码的方式，从而增强了网页的交互性和动态性。

然而，随着时间的推移，javascript: URL 的使用逐渐被认为是不安全和不推荐的做法。因为它容易受到跨站脚本攻击（XSS）的威胁，攻击者可以通过注入恶意代码来执行恶意操作。为了提高安全性，现代的 Web 开发中更倾向于使用事件监听器和外部 JavaScript 文件来处理交互和动态效果，而不是直接使用 javascript: URL。

总结起来，javascript: URL 在 HTML 标准中引入于1995年11月24日，但由于安全性等因素，现代的 Web 开发更推荐使用其他方式来处理 JavaScript 代码的执行。

相关搜索:带有前缀、中间件和命名路由的管理路由组如何将字符串传递给web服务器上的test.cgi？linq datetime不包含最大值或最小值 React app render函数是否在设置状态之前执行？从旧样式枚举到新样式枚举的快速更新的安全性 mongodb是否利用重复值？Angular -在选项中指定默认值使用Ansible Playbook创建Ec2实例并安装Python包如何修复二进制搜索算法的结果(出现丢失结果)如何解决"RuntimeError: CUDA错误:设备序号无效“？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

JavaScrtip之JS最佳实践

,所以把新的url地址传给此函数时,这个函数将把新窗口的现有文档替换成新url地址处的文档,而不是去新创建一个窗口!....如http协议、ftp协议等、伪协议则是一种非标准化的协议。"...javascript:"伪协议让我们通过一个链接来调用JavaScript函数下面是通过"javascript:"伪协议调用popUp()函数的具体方法: <a href="<em>javascript</em>...:"伪协议的浏览器中正常运行,但在较老的浏览器则回去尝试打开那个链接但总是失败,支持这种伪协议但仅用了JavaScript功能的浏览器什么也不会做，总之,在html文档里通过"javascript:"伪协议来调用...在具体到popUp()函数,给其中的JavaScript代码预留出退路很简单:在链接里把href属性设置为真实存在的URL地址,让他成为一个有效的链接。

2.1K5 0

前端面试题-HTML+CSS

Doctype 作用，HTML5 为什么只需要写 doctype 是一种标准通用标记语言的文档类型声明，目的是告诉标准通用标记语言解析器要使用什么样的文档类型定义（DTD）来解析文档。<!...sessionStorage WebSocket: HTML5 开始提供的一种在单个 TCP 连接上进行全双工通讯的协议 6....清除浮动，什么时候需要清除浮动，清除浮动都有哪些方法浮动的元素是脱离文档标准流的，如果我们不清楚浮动，那么就会造成父元素高度塌陷，影响页面布局。...CSS 选择器、多背景、rgba() 唯一引入的伪元素是::selection；实现媒体查询@media，多栏布局flex 过渡transition 动画animation 11....（伪元素由双冒号和伪元素名称组成）, 双冒号是在当前规范中引入的，用于区分伪类和伪元素 12.

9813 0

PHP代码审计02之filter_var()函数缺陷

其实就是把一些预定义字符转换成HTML实体。具体看下表： ?...，其实，这里可以通过JavaScript伪协议来绕过，为了更好的理解，这里写一小段简单的代码。...($url); echo "测试一下"; 下面我们构造payload，用JavaScript伪协议来绕过，payload为：javascript://test%250aalert...而上面我们分析了，可以使用伪协议来绕过filter_var的检查，至于正则判断，只要我们结尾包含test.com,就绕过了正则检查。...现在我们设置payload：javascript://123";ls;"test.com 伪协议绕过了filter_var检查。

2.3K4 2

Google IO 2023 — Web 平台的最新动态

HTML 元素来构建网站模型呢？...img Web 平台一直在发展，但我们认为支持两个最新版本的浏览器是一个很好的基础标准，这样大家就可以考虑是否可以在生产环境中使用新的 Web 特性。...focus-visible 伪类 focus-visible 伪类对于无障碍方面的功能是非常有用的。我们都熟悉当你使用键盘或单击输入元素导航页面时出现的焦点链接。...img 在焦点可见时（例如用户使用键盘导航的页面），你可以应用恰当的设计，比如如把轮廓聚焦在元素上；但如果焦点不可见（例如用户使用鼠标导航），则可以根据整体设计需求去除轮廓。...img 因此，如果你需要重复使用某些 JavaScript 模块（例如，一些通用工具函数），则可以在 Import Map 中指定它的名称和 URL，然后在代码中使用 import 语句引入它们。

1842 0

前端无法让我冷静

相对的是自己。 什么时候需要清除浮动？...important > 内联 > ID > 类 > 伪类 | 属性选择 > 标签 | 伪对象 > 通配符 > 继承 canvas与svg的区别 px、em、rem的区别 PX px像素（Pixel）...，prototype是什么，什么时候用 prototype对象是实现面向对象的一个重要机制在JavaScript中没有类的概念，都是函数 1.原型和原型链是JS实现继承的一种模型。...UTC标准时间 datetime-local : 显示完整日期和时间 time : 显示时间 month : 显示月 week : 显示周 es6与es5的差别 JavaScript一种动态类型、弱类型...谈谈你对模块化的理解模块化——把程序划分成独立运行且可以独立访问的模块，每个模块完成一个子功能，把这些模块集成起来构成一个整体，可以完成指定的功能满足用户的需求。

2.5K4 0

前端

标准模式：浏览器按W3C标准解析执行代码怪异模式：使用浏览器自己的方式解析执行代码，因为不同浏览器解析执行的方式不一样，所以称之为怪异模式。...相对的是自己。 什么时候需要清除浮动？...important > 内联 > ID > 类 > 伪类 | 属性选择 > 标签 | 伪对象 > 通配符 > 继承 canvas与svg的区别 ?...，prototype是什么，什么时候用 prototype对象是实现面向对象的一个重要机制在JavaScript中没有类的概念，都是函数 1.原型和原型链是JS实现继承的一种模型。...谈谈你对模块化的理解模块化——把程序划分成独立运行且可以独立访问的模块，每个模块完成一个子功能，把这些模块集成起来构成一个整体，可以完成指定的功能满足用户的需求。

1.9K4 1

技巧 | XSS的常见绕过方法

XSS：【浏览器必须支持伪协议如：IE6】

外部引用含有XSS的CSS...文件：在www.xxx.com/1.css里写入通过link引入 p{ background-image:expression(alert('xss')) } 在目标站通过link引入 <link

2.1K4 0

web前端面试题汇总_web前端面试题模拟

这使得 webpack 很快且在增量编译上更加快说说TCP传输的三次握手四次挥手策略为了准确无误地把数据送达目标处，TCP协议采用了三次握手策略。...(function( window, undefined ) { //用一个函数域包起来，就是所谓的沙箱 //在这里边var定义的变量，属于这个函数域内的局部变量，避免污染全局 //把当前沙箱需要的外部变量通过函数参数引入进来...选择器多背景 rgba 在CSS3中唯一引入的伪元素是::selection....§ 共同点：与服务器的无刷新传递消息、用户离线和在线状态、操作DOM 请解释一下 JavaScript 的同源策略。概念:同源策略是客户端脚本（尤其是Javascript）的重要的安全度量标准。...是 JavaScript 中常用绑定事件的常用技巧。顾名思义，“事件代理”即是把原本需要绑定的事件委托给父元素，让父元素担当事件监听的职务。事件代理的原理是DOM元素的事件冒泡。

4602 0

XSS绕过技巧

#再用url编码alert的中间结果 <a herf="javascrips...< (小于) 成为 < > (大于) 成为 > PHP 过滤原理：htmlspecialchars() 函数<em>把</em>预定义<em>的</em>字符转换为...href<em>伪</em><em>协议</em>绕过当输入<em>的</em>值在 a 标签 herf 里 payload：<em>javascript</em>:alert(1111) <em>JavaScript</em> 直接代入 a 标签 herf 里面，一样可以绕过 htmlspecialchars...script>alert(XSS); <em>JavaScript</em> 当浏览器解析到标签时，浏览器就开始使用一套新<em>的</em><em>标准</em>开始解析后面的内容，直到碰到闭合标签。...而在这一套新<em>的</em><em>标准</em>遵循XML解析规则，在XML中实体编码会自动转义，重新来一遍标签开启状态，此时就会执行xss了。结语记忆，总会传承下去，无论是用何种方式。

6941 0

小白入门学习web前端，这些干货不能少

），了解基本的html、css和javascript语法（这些语方面的东西网上随便搜一下就有很多很多，基本的语法是整个技术体系最重要的东西了，领先的 Web 技术教程），可以根据设计师的设计图在不考虑兼容性的情况下把页面做出来...link：定义文档与外部资源的关系，最常用的用途就是引入样式表。script：脚本标签，可以把js脚本代码放置在这个标签内，也可以使用这个标签的src属性引入一个外部标签。...4.浏览器的重绘与重排。 ⑤ 选择器 1.选择器的分类，权值和优先级。 2.有哪些属性可以被继承，哪些属性没法继承。 3.伪类和伪元素分别是什么，有什么作用。...3.JavaScript部分在这里就不说js的基础知识了，我把js按照语法的层次和使用的层次分为了两大块。...上面我所说的这些只是一些比较笼统的概念，把前端html、css和javascript所需要掌握的部分内容列举了一下，在前端领域还有很多需要我们知道的知识，这需要大家在学习工作的过程中去自己总结。

5430 0

可以被XSS利用的HTML标签和一些手段技巧

而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中，都不一定触发，因为很多老的标签和事件都已经被W3C给废弃了。...–src加伪协议js代码不能触发–> img、video、audio标签 onclick:点击触发 onerror:当src加载不出来时触发 onload...#0000040; ’123′ )“>Hello Hello tip其实在标签内的所有伪协议...注意头部的X-XSS-Protection 这个东西就是让浏览器帮助一起防御XSS 为0则不帮助，为1则把可能含有的在代码中直接拿掉，还有一个是类型1;black这样的，就是在url地址直接把认为可能是

3.9K9 0

Web专题分享

这个时候，Web 标准就出来了，Web 标准一般是将该三部分独立分开，使其更具有模块化。 image-20211009222851763 一、HTML 1、什么是 HTML ?... 2、引入方式行内样式把样式写在标签内部，需要在标签中添加一个属性 style，在 style 中定义样式这段字也是黄色的！当我们把位置换一下的时候，第二段文字就变成换色的了。...： a[href="https://example.com"] { } 伪类与伪元素这组选择器包含了伪类，用来样式化一个元素的特定状态。...上文的示例中，我们用一个 click（单击）事件来检测按钮什么时候被点击，然后运行代码更新文本标签。以及更多！

2.5K2 0

Cross-Site Scripting XSS漏洞

的标准接口，DOM里面会把我们的HTML分成一个DOM树: 观察一下这个题目，当我们输入任何数据都会转换为一个网页：点击what do you see页面会发生跳转：在网页源代码也可以看到..., 点击click之后生成了标签: 漏洞利用 1、利用JavaScript伪协议 javascript:alert("拈花倾城!!")...'拈花倾城') // 单引号闭合+事件标签 javascript:alert('拈花倾城') // JavaScript伪协议九、XSS之href输出用户输入的url会作为a标签的href属性值...如果用户选择了标签中的内容，那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档，或者执行 JavaScript 表达式、方法和函数的列表。...从上述描述可见，这边可以利用JavaScript协议,输入payload： javascript:alert(document.cookie) 十、XSS之js输出输入内容被动态生成到网页的js代码中了

3731 0

干货 | 学习XSS从入门到熟悉

•URL 解码 URL编码是为了允许URL中存在汉字这样的非标准字符，本质是把一个字符转为%加上UTF-8编码对应的16进制数字。所以又称之为Percent-encoding。...73%73%22%29"> 注意，伪协议头 javascript: 是不能进行编码的。...但是伪协议头 javascript: 可以进行HTML编码。 Javascript 编码我们可以将DOM节点中的内容转化为 Javascript 编码。...后边加入的 javascript 伪URL，也会进入 JavaScript 的解析模式。...如果没有数据被过滤，插入javascript伪协议看看： click 看是否返回错误，javascript的整个协议内容是否都被过滤掉

3.7K1 1

HTML5 CSS3

增加了更多的CSS选择器多背景rgba 5. 在CSS3中唯一引入的伪元素是 ::selection. 6....HTML5 引入什么新的表单属性？...创建并插入 iframe，让它异步执行 js 7、请解释一下 JavaScript 的同源策略。同源策略是客户端脚本（尤其是Javascript）的重要的安全度量标准。...所谓同源指的是：协议，域名，端口相同，同源策略是一种安全协议，指一段脚本只能读取来自同一来源的窗口和文档的属性。 8、GET和POST的区别，何时使用POST？...18、在Javascript中什么是伪数组？如何将伪数组转化为标准数组？伪数组（类数组）：无法直接调用数组方法或期望length属性有什么特殊的行为，但仍可以对真正数组遍历方法来遍历它们。

3.4K4 0

干货笔记！一文讲透XSS(跨站脚本)漏洞

，千万不要引入任何不可信的第三方JavaScript到页面里！...payload：我们可以输入 payload，然后看看页面的变化四、javascript伪协议绕过 javascript伪协议介绍...将javascript代码添加到客户端的方法是把它放置在伪协议说明符javascript的URL中。...””,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag 弄出来。...web应用开发者注意事项：对于开发者，首先应该把精力放到对所有用户提交内容进行可靠的输入验证上。这些提交内容包括URL、查询关键字、http头、post数据等。

3.6K2 1

CSS面试题总结

大家好，又见面了，我是你们的朋友全栈君。前面的话小柒前面总结了与HTML相关的面试题，这篇文章总结CSS相关面试题。题目 (1) 盒子模型的理解？...正确的伪类样式的排列顺序: L-V-H-A : a:link {} a:visited {} a:hover {} a:active {} (6) 清除浮动，什么时候需要清除浮动，清除浮动都有哪些方法...外链式（link引入）内联式行内式 @import引入 (10) CSS Sprite 是什么，谈谈这个技术的优缺点。 CSS Sprite将多张图片合并在一张图上。...外边距折叠（margin塌陷）：相邻的两个或多个外边距 (margin) 在垂直方向会合并成一个外边距（margin） 什么时候会造成margin塌陷？相邻的元素都在普通流中。...起初，伪元素是用:表示的，但在css3中，伪元素的语法被修改为双冒号。这里的::before 和 :before表示的意思一样，都是伪元素。

8231 0

史上最全的前端基础面试题，你必须掌握哦！

doctype>声明不是一个HTML标签，是一个用于告诉浏览器当前HTMl版本的指令现代浏览器的html布局引擎通过检查doctype决定使用兼容模式还是标准模式对文档进行渲染，一些浏览器有一个接近标准模型...方面将样式表放到页面顶部不使用CSS表达式使用不使用@import 不使用IE的Filter Javascript方面将脚本放到页面底部将javascript和css从外部引入压缩...mouseout与mouseenter/mouseleave的区别与联系 mouseover/mouseout是标准事件，所有浏览器都支持；mouseenter/mouseleave是IE5.5引入的特有事件后来被...，如通过iframe引入的同源文档。...: '包含完整的url', * origin: '包含协议到pathname之前的内容', * protocol: 'url使用的协议，包含末尾的:', * username

1.9K3 1

前端工程师面试题汇总

常见的浏览器内核有哪些？ html5有哪些新特性、移除了那些元素？如何处理HTML5新标签的浏览器兼容问题？如何区分 HTML 和 HTML5？简述一下你对HTML语义化的理解？...CSS3新增伪类有那些？如何居中div？如何居中一个浮动元素？如何让绝对定位的div居中？ display有哪些值？说明他们的作用。...对Node的优点和缺点提出了自己的看法？你有用过哪些前端性能优化的方法？ http状态码有那些？分别代表是什么意思？一个页面从输入 URL 到页面加载显示完成，这个过程中都发生了什么？...只要箱子没被上锁，C都会偷走箱子里的东西，不管箱子里有什么。如果A和B各自有一把锁和只能开自己那把锁的钥匙，A应该如何把东西安全递交给B？答案：A把药放进箱子，用自己的锁把箱子锁上。...JavaScript 标准参考教程 ECMAScript 6入门

2K8 0

每天20个灵魂拷问系列一

:设置为fixed的元素，定位于浏览器窗口的指定坐标，不论窗口滚动与否，元素都会留在那个位置，它始终以body为依据，同时它也不占标准流的位置三、什么是BFC?...它是一个独立的渲染区域参考 https://www.zihanzy.com/articles/13 四、css引入的方式有哪些？link和@import的区别是什么？...解答 css引入方式有内联、内嵌、外链、导入四种 link于@import的区别 link没有兼容性、@importCSS2.1以下浏览器不支持 link支持使用javascript改变样式，后者不可...解答 CSS精灵图，把一推小图片整合道一张大的图片（png）上，减轻图片请求的数量参照 https://www.zihanzy.com/articles/77 六、清除浮动的几种方式？...解答 display:none;使用该属性后HTML(元素)对象的宽度、高度等各种属性都会“丢失” visibility:hidden:使用该属性后，HTML(元素)对象仅仅在视觉上看不见,而它所占据的空间位置仍然存在

3833 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭