到目前为止,我知道,有四种不同的方式来定义&在网页中调用
JavaScript
1.inline JS
<script type='text/javascript'> ... </script>
2.外部JS
<script src="someURL"></script>
3.Event hander JS:
<input type="button" onclick="...javascript..."
4.JavaScript:URL
<a href="javascript: ...JS CODE...">js</a>
JS可以在网页中插入任何其他方式吗?是否(有多少种方式)在任何标准规范中定义?
在上面提到的4种不同方式中,JavaScript的执行上下文有什么不同吗?
解决方法
实际上有很多方法可以在HTML中执行Javascript,这些方法在浏览器和平台之间各不相同.
这个infamous XSS cheatsheet中列出了很多(但不是全部).
在不太模糊的中,有以下几种:
<img src="javascript:...">
<body background="javascript:...">
<style>BODY{-moz-binding:url("...")}</style>
<Meta HTTP-EQUIV="refresh" CONTENT="0;url=javascript:...">
…等等.
