style = attributes中的注释 - 安全吗?
-
06-07-2019 - |
题
我正在使用CMS生成CSS" style ='xyz'"用户输入的语句。 用户输入将被验证,但作为额外的安全措施,我想检查生成CSS代码时值的有效性。
如果遇到无效值 - 例如相对宽度(“50%”),其中由于布局限制仅允许绝对值 - 我想在样式属性中返回注释以帮助调试:
<div class="content" style="background-color: lightblue; /* WIDTH was invalid: Only absolute values allowed here */; border: 1px orange dotted;">
这是否“安全”,即所有主流浏览器是否仍会正确解析评论前后的设置?谷歌很难对此有所了解。
解决方案
这可能是安全的,但我不会将错误的值注释到标记中。
让用户知道他们在生成标记之前就已经做错了。
一个好主意是创建一个这样的测试用例并将其提供给W3C验证器,看看它会说些什么。
其他提示
从头脑中,IE支持它,Fx不支持。
不隶属于 StackOverflow