在iframe/div中禁用javascript

您可以尝试使用Keckeditor采用的相同解决方案,其中有一个演示 here .
通过从RTE模式切换到查看源代码模式,您可以输入一些javascript并查看结果,这是安全编码字符串中JS节点的替换。
如果你在 视图源 模式,通过输入一些JS行,如:

<script type="text/javascript">
// comment
alert('Ciao');
</script>

当返回到 RTF编辑器 模式:

<!--{cke_protected}%3Cscript%20type%3D%22text%2Fjavascript%22%3E%0D%0A%2F%2F%20comment%0D%0Aalert('Ciao')%3B%0D%0A%3C%2Fscript%3E-->

我认为这是最简单有效的方法之一,因为解析JS节点的regexp并不复杂。
一个例子:

var pattern = /<script(\s+(\w+\s*=\s*("|').*?\3)\s*)*\s*(\/>|>.*?<\/script\s*>)/;
var match = HTMLString.match(pattern); // array containing the occurrences found

(当然,要替换脚本节点,应该使用replace()方法)。

当做。

HTML5介绍 the sandbox attribute 在iframe上,如果为空,则禁用javascript加载和执行。

是的,您的更新是正确的。你 必须 假设从用户接收到的任何输入都可能包含恶意元素。因此,你 必须 在接受其输入之前在服务器上验证。

你可以设定 内容安全策略 作为 脚本src“self” 在页眉中。CSP将阻止我们自己网站以外的任何脚本。这样我们就可以防止任何脚本iframe更改页面中的元素。

你可以从这里得到更多的信息 http://www.html5rocks.com/en/tutorials/security/content-security-policy/