一部のユーザーがプラグインを作成できるようにする Web アプリケーションをセットアップしています。これらのプラグインには、JavaScript によってレンダリングされるクライアント側のテンプレートが含まれている場合があります。テンプレート コードは、 iCanHaz.jsテンプレートの場合と同様に、 のscriptタグに配置されます。type="text/html"
私が心配しているのは、テンプレート コードだけでなく、実際の JavaScript コードを含めることによって、誰かが XSS 攻撃を含むプラグインを作成しようとすることです。現在のブラウザでは、 のscriptタグはtype="text/html"JavaScript として実行されないことがわかっているので、安全なはずです。これはすべてのブラウザに当てはまりますか? script私が心配しているのは、タグが表示されるたびにコードを JavaScript として盲目的に実行するブラウザーが世の中にあることです。