J'ai soumis une extension Firefox qui utilise la balise innerHtml
。 html 内容是硬编码的,多级嵌套 div
和 span
标签,带有 id
class
... 属性,没有 script
或 a
sur content-script.js. Les informations réelles sont renseignées dans le code derrière.
const myHtml = `..........`; let elm = document.createElement('div'); elm.id = 'injectedWrapper'; elm.innerHTML = myHtml;
Cependant, AMO se plaint toujours de insideHtml, même si cela vient de const
.
Due to both security and performance concerns, this may not be set using dynamic values which have not been adequately sanitized.
J'ai lu le guide, mais pour l'instant, le support de Firefox semble encore limité. Je ne veux pas ajouter de js supplémentaires car c'est un script de contenu et pire encore, il y en a beaucoup createElement
mais tout cela n'a aucun sens.
Alors, y a-t-il un moyen de nettoyer le contenu HTML pour rendre Firefox heureux ?
D'accord, je comprends enfin. Ceci est une mise à jour pour référence future.
La vérification proprement dite est effectuée via addons-linter, qui ne semble pas assez intelligent pour analyser le code.
Cela échouera :
Tout cela fonctionnera.