我正在测试一些东西,并试图将其放入Showdown:
<script>alert("hacked!");</script>
当然,它没有任何提示(Showdown可以防止此类情况发生),但是该<script>标记已被完全删除。我将其用于用户描述,因此脚本标记(及其内容)应该可见,只是不执行。
我当时在想,很可能需要更改一些内置的Showdown代码,但找不到应该更改为仅显示脚本标签而不执行它们的代码中的任何位置。
是否有人知道任何现有选项或对源代码进行的某些更改以显示此信息?
我找到了答案:我只需<script>要用可见的内容(例如<script和</script>
这是我使用的代码:
myshowdownhtml.split("<script").join("<script").split("<"+"/script>").join("</script>");
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句