HTML 规范变更:对属性中的 < 和 > 进行转义

此更改仅修改了在序列化过程中将 HTML 片段转换回字符串表示的方式。影响仅限于访问 innerHTML 或 outerHTML 属性或对元素调用 getHTML() 方法的情况。这些操作会采用现有的 DOM 结构,并生成文本 HTML 表示法。

HTML规范将于2025年5月20日更新,开始对属性中的<和>进行转义,以防止突变XSS漏洞。此变更影响使用innerHTML和outerHTML提取属性的代码,但不影响DOM API的使用。使用Chromium和Firefox的用户将于2025年6月24日体验此更改。

DOM API HTML规范 XSS漏洞 html innerHTML 转义
原文中文,约2200字,阅读约需6分钟。发表于:
阅读原文
分享给好友