我提交了一个 Firefox 扩展,它在 content-script.js 上使用 innerHtml。 html 内容是硬编码的,多级嵌套 div 和 span 标签,带有 id class... 属性,没有 script 或 a 标签。实际信息在后面的代码中填写。
const myHtml = `..........`;
let elm = document.createElement('div');
elm.id = 'injectedWrapper';
elm.innerHTML = myHtml;
然而,AMO 仍然抱怨 insideHtml,即使它来自 const。
Due to both security and performance concerns, this may not be set using dynamic values which have not been adequately sanitized.
我阅读了该指南,但截至目前,Firefox 的支持似乎仍然有限。我不想添加额外的js,因为它是内容脚本,最糟糕的是大量 createElement 但整个事情毫无意义。
那么无论如何都要清理 html 内容以使 Firefox 满意吗?
P粉4364105862023-09-09 23:13:31
好的,终于明白了。这是供将来参考的更新。
实际验证是通过addons-linter完成的,看起来不太聪明足以分析代码。
这将失败:
const myHtml = '<div></div>'; elm.innerHtml = myHtml;
这些都会起作用。
elm.innerHtml = '<div></div>'
elm.innerHtml = '<div>'+'</div>'
elm.innerHtml = `<div>
</div>`