Выполнение <script> элементов, вставленных с .innerHTML
У меня есть script, который вставляет некоторый контент в элемент с помощью innerHTML.
Содержимое может быть, например,:
<script type="text/javascript">alert('test');</script>
<strong>test</strong>
Проблема в том, что код внутри тега <script> не выполняется.
Я немного погуглил, но никаких явных решений не было. Если я вставлял содержимое, используя jQuery $(element).append(content);, части script получили eval 'd перед вводом в DOM.
Кто-нибудь получил фрагмент кода, который выполняет все элементы <script>? Код jQuery был немного сложным, поэтому я не мог понять, как это было сделано.
Edit
Заглянув в код jQuery, мне удалось выяснить, как это делает jQuery, в результате чего появился следующий код:
Demo:
<div id="element"></div>
<script type="text/javascript">
function insertAndExecute(id, text)
{
domelement = document.getElementById(id);
domelement.innerHTML = text;
var scripts = [];
ret = domelement.childNodes;
for ( var i = 0; ret[i]; i++ ) {
if ( scripts && nodeName( ret[i], "script" ) && (!ret[i].type || ret[i].type.toLowerCase() === "text/javascript") ) {
scripts.push( ret[i].parentNode ? ret[i].parentNode.removeChild( ret[i] ) : ret[i] );
}
}
for(script in scripts)
{
evalScript(scripts[script]);
}
}
function nodeName( elem, name ) {
return elem.nodeName && elem.nodeName.toUpperCase() === name.toUpperCase();
}
function evalScript( elem ) {
data = ( elem.text || elem.textContent || elem.innerHTML || "" );
var head = document.getElementsByTagName("head")[0] || document.documentElement,
script = document.createElement("script");
script.type = "text/javascript";
script.appendChild( document.createTextNode( data ) );
head.insertBefore( script, head.firstChild );
head.removeChild( script );
if ( elem.parentNode ) {
elem.parentNode.removeChild( elem );
}
}
insertAndExecute("element", "<scri"+"pt type='text/javascript'>document.write('This text should appear as well.')</scr"+"ipt><strong>this text should also be inserted.</strong>");
</script>
Ответы
Ответ 1
OP script не работает в IE 7. С помощью SO здесь script, который делает:
exec_body_scripts: function(body_el) {
// Finds and executes scripts in a newly added element body.
// Needed since innerHTML does not run scripts.
//
// Argument body_el is an element in the dom.
function nodeName(elem, name) {
return elem.nodeName && elem.nodeName.toUpperCase() ===
name.toUpperCase();
};
function evalScript(elem) {
var data = (elem.text || elem.textContent || elem.innerHTML || "" ),
head = document.getElementsByTagName("head")[0] ||
document.documentElement,
script = document.createElement("script");
script.type = "text/javascript";
try {
// doesn't work on ie...
script.appendChild(document.createTextNode(data));
} catch(e) {
// IE has funky script nodes
script.text = data;
}
head.insertBefore(script, head.firstChild);
head.removeChild(script);
};
// main section of function
var scripts = [],
script,
children_nodes = body_el.childNodes,
child,
i;
for (i = 0; children_nodes[i]; i++) {
child = children_nodes[i];
if (nodeName(child, "script" ) &&
(!child.type || child.type.toLowerCase() === "text/javascript")) {
scripts.push(child);
}
}
for (i = 0; scripts[i]; i++) {
script = scripts[i];
if (script.parentNode) {script.parentNode.removeChild(script);}
evalScript(scripts[i]);
}
};
Ответ 2
@phidah... Вот очень интересное решение вашей проблемы:
http://24ways.org/2005/have-your-dom-and-script-it-too
Таким образом, это будет выглядеть следующим образом:
<img src="empty.gif" onload="alert('test');this.parentNode.removeChild(this);" />
Ответ 3
Здесь более короткий, более эффективный script, который также работает для скриптов с свойством src:
function insertAndExecute(id, text) {
document.getElementById(id).innerHTML = text;
var scripts = Array.prototype.slice.call(document.getElementById(id).getElementsByTagName("script"));
for (var i = 0; i < scripts.length; i++) {
if (scripts[i].src != "") {
var tag = document.createElement("script");
tag.src = scripts[i].src;
document.getElementsByTagName("head")[0].appendChild(tag);
}
else {
eval(scripts[i].innerHTML);
}
}
}
Примечание: в то время как eval может вызвать уязвимость безопасности, если она не используется должным образом, она намного быстрее, чем создание тега script на лету.
Ответ 4
Нельзя использовать свойство innerHTML, а метод appendChild Node: a node в дереве документов [HTML DOM]. Таким образом, вы сможете позже называть ваш введенный код.
Убедитесь, что вы понимаете, что node.innerHTML не совпадает с node.appendChild. Вы можете потратить некоторое время на ссылку на Javascript Client для более подробной информации и DOM. Надеюсь, что следующее поможет...
Примеры инъекций:
<html>
<head>
<title>test</title>
<script language="javascript" type="text/javascript">
function doOnLoad(){
addScript('inject',"function foo(){ alert('injected'); }");
}
function addScript(inject,code){
var _in = document.getElementById('inject');
var scriptNode = document.createElement('script');
scriptNode.innerHTML = code;
_in.appendChild(scriptNode);
}
</script>
</head>
<body onload="doOnLoad();">
<div id="header">some content</div>
<div id="inject"></div>
<input type="button" onclick="foo(); return false;" value="Test Injected" />
</body>
</html>
С уважением,
Ответ 5
Попробуйте этот фрагмент:
function stripAndExecuteScript(text) {
var scripts = '';
var cleaned = text.replace(/<script[^>]*>([\s\S]*?)<\/script>/gi, function(){
scripts += arguments[1] + '\n';
return '';
});
if (window.execScript){
window.execScript(scripts);
} else {
var head = document.getElementsByTagName('head')[0];
var scriptElement = document.createElement('script');
scriptElement.setAttribute('type', 'text/javascript');
scriptElement.innerText = scripts;
head.appendChild(scriptElement);
head.removeChild(scriptElement);
}
return cleaned;
};
var scriptString = '<scrip' + 't + type="text/javascript">alert(\'test\');</scr' + 'ipt><strong>test</strong>';
document.getElementById('element').innerHTML = stripAndExecuteScript(scriptString);
Ответ 6
function insertHtml(id, html)
{
var ele = document.getElementById(id);
ele.innerHTML = html;
var codes = ele.getElementsByTagName("script");
for(var i=0;i<codes.length;i++)
{
eval(codes[i].text);
}
}
Он работает в Chrome в моем проекте
Ответ 7
Упрощенная версия ES6 @joshcomley отвечает на примере.
Нет JQuery, Нет библиотеки, Нет eval, Нет изменений DOM, Просто чистый Javascript.
http://plnkr.co/edit/MMegiu?p=preview
var setInnerHTML = function(elm, html) {
elm.innerHTML = html;
Array.from(elm.querySelectorAll("script")).forEach( oldScript => {
const newScript = document.createElement("script");
Array.from(oldScript.attributes)
.forEach( attr => newScript.setAttribute(attr.name, attr.value) );
newScript.appendChild(document.createTextNode(oldScript.innerHTML));
oldScript.parentNode.replaceChild(newScript, oldScript);
});
}
использование
$0.innerHTML = HTML; // does *NOT* run <script> tags in HTML
setInnerHTML($0, HTML); // does run <script> tags in HTML
Ответ 8
Решение без использования "eval":
var setInnerHtml = function(elm, html) {
elm.innerHTML = html;
var scripts = elm.getElementsByTagName("script");
// If we don't clone the results then "scripts"
// will actually update live as we insert the new
// tags, and we'll get caught in an endless loop
var scriptsClone = [];
for (var i = 0; i < scripts.length; i++) {
scriptsClone.push(scripts[i]);
}
for (var i = 0; i < scriptsClone.length; i++) {
var currentScript = scriptsClone[i];
var s = document.createElement("script");
// Copy all the attributes from the original script
for (var j = 0; j < currentScript.attributes.length; j++) {
var a = currentScript.attributes[j];
s.setAttribute(a.name, a.value);
}
s.appendChild(document.createTextNode(currentScript.innerHTML));
currentScript.parentNode.replaceChild(s, currentScript);
}
}
Это по существу клонирует тэг script, а затем заменяет заблокированный тег script на вновь сгенерированный, что позволяет выполнять.
Ответ 9
scriptNode.innerHTML = code не работал для IE. Единственное, что нужно сделать, это заменить на scriptNode.text = code и работать нормально
Ответ 10
Легче использовать jquery $(parent).html(code) вместо parent.innerHTML = code:
var oldDocumentWrite = document.write;
var oldDocumentWriteln = document.writeln;
try {
document.write = function(code) {
$(parent).append(code);
}
document.writeln = function(code) {
document.write(code + "<br/>");
}
$(parent).html(html);
} finally {
$(window).load(function() {
document.write = oldDocumentWrite
document.writeln = oldDocumentWriteln
})
}
Это также работает со сценариями, использующими document.write и скриптами, загружаемыми через атрибут src. К сожалению, даже это не работает с скриптами Google AdSense.
Ответ 11
Просто выполните:
document.body.innerHTML = '<img src="../images/loaded.gif" alt="" onload="alert(\'test\');this.parentNode.removeChild(this);" />';
Ответ 12
Вы можете взглянуть на этот пост. Код может выглядеть так:
var actualDivToBeUpdated = document.getElementById('test');
var div = document.createElement('div');
div.innerHTML = '<script type="text/javascript">alert("test");<\/script>';
var children = div.childNodes;
actualDivToBeUpdated.innerHTML = '';
for(var i = 0; i < children.length; i++) {
actualDivToBeUpdated.appendChild(children[i]);
}
Ответ 13
Благодаря Larry script, который отлично работал в IE10, это то, что я использовал:
$('#' + id)[0].innerHTML = result;
$('#' + id + " script").each(function() { this.text = this.text || $(this).text();} );
Ответ 14
Попробуйте функцию eval().
data.newScript = '<script type="text/javascript">//my script...</script>'
var element = document.getElementById('elementToRefresh');
element.innerHTML = data.newScript;
eval(element.firstChild.innerHTML);
Это реальный пример из проекта, который я разрабатываю.
Благодаря этому сообщению
Ответ 15
Продвижение Ларри. Я сделал рекурсивно поиск всего блока и дочерних узлов.
Теперь script также вызовет внешние скрипты, заданные параметром src.
Скрипты добавляются в голову вместо вставленной и помещаются в том порядке, в котором они найдены. Таким образом, порядок скриптов сохраняется. И каждый script выполняется синхронно, аналогично тому, как браузер обрабатывает первоначальную загрузку DOM. Так что если у вас есть блок script, который вызывает jQuery из CDN, а следующий script node использует jQuery... Нет проблем! О, и я пометил приложенные сценарии сериализованным идентификатором, основанным на том, что вы установили в параметре тега, чтобы вы могли найти то, что было добавлено этим script.
exec_body_scripts: function(body_el, tag) {
// Finds and executes scripts in a newly added element body.
// Needed since innerHTML does not run scripts.
//
// Argument body_el is an element in the dom.
function nodeName(elem, name) {
return elem.nodeName && elem.nodeName.toUpperCase() ===
name.toUpperCase();
};
function evalScript(elem, id, callback) {
var data = (elem.text || elem.textContent || elem.innerHTML || "" ),
head = document.getElementsByTagName("head")[0] ||
document.documentElement;
var script = document.createElement("script");
script.type = "text/javascript";
if (id != '') {
script.setAttribute('id', id);
}
if (elem.src != '') {
script.src = elem.src;
head.appendChild(script);
// Then bind the event to the callback function.
// There are several events for cross browser compatibility.
script.onreadystatechange = callback;
script.onload = callback;
} else {
try {
// doesn't work on ie...
script.appendChild(document.createTextNode(data));
} catch(e) {
// IE has funky script nodes
script.text = data;
}
head.appendChild(script);
callback();
}
};
function walk_children(node) {
var scripts = [],
script,
children_nodes = node.childNodes,
child,
i;
if (children_nodes === undefined) return;
for (i = 0; i<children_nodes.length; i++) {
child = children_nodes[i];
if (nodeName(child, "script" ) &&
(!child.type || child.type.toLowerCase() === "text/javascript")) {
scripts.push(child);
} else {
var new_scripts = walk_children(child);
for(j=0; j<new_scripts.length; j++) {
scripts.push(new_scripts[j]);
}
}
}
return scripts;
}
var i = 0;
function execute_script(i) {
script = scripts[i];
if (script.parentNode) {script.parentNode.removeChild(script);}
evalScript(scripts[i], tag+"_"+i, function() {
if (i < scripts.length-1) {
execute_script(++i);
}
});
}
// main section of function
if (tag === undefined) tag = 'tmp';
var scripts = walk_children(body_el);
execute_script(i);
}
Ответ 16
Попробуйте это, он работает для меня в Chrome, Safari и Firefox:
var script = document.createElement('script');
script.innerHTML = 'console.log("hi")';
document.body.appendChild(script);
--> logs "hi"
Следует отметить, однако, что следующий div-вложенный script НЕ запускается:
var script = document.createElement('div');
script.innerHTML = '<script>console.log("hi")</script>';
document.body.appendChild(script);
--> doesn't log anything
Для запуска script он должен быть создан как node, а затем добавлен в качестве дочернего. Вы даже можете добавить script внутри ранее введенного div, и он будет запущен (я уже сталкивался с этим, когда пытаюсь заставить код сервера объявлений работать):
var div = document.createElement('div');
div.id = 'test-id';
document.body.appendChild(div);
var script = document.createElement('script');
script.innerHTML = 'console.log("hi")';
document.getElementById('test-id').appendChild(script);
--> logs "hi"
Ответ 17
Расходы на ответ Lambder
document.body.innerHTML = '<img src="../images/loaded.gif" alt="" > onload="alert(\'test\');this.parentNode.removeChild(this);"/>' document.body.innerHTML = '<img src="../images/loaded.gif" alt="" > onload="alert(\'test\');this.parentNode.removeChild(this);"/>';
Вы можете использовать образ base64 для создания и загрузки сценария
<img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAAAXNSR0IArs4c6QAAAARnQU1BAACxjwv8YQUAAAAJcEhZcwAADsMAAA7DAcdvqGQAAAAZdEVYdFNvZnR3YXJlAHBhaW50Lm5ldCA0LjAuMjHxIGmVAAAADUlEQVQYV2P4//8/AwAI/AL+iF8G4AAAAABJRU5ErkJggg=="
onload="var script = document.createElement('script'); script.src = './yourCustomScript.js'; parentElement.append(script);" />
Или, если у вас есть Iframe вы можете использовать его вместо этого
<iframe src='//your-orginal-page.com' style='width:100%;height:100%'
onload="var script = document.createElement('script'); script.src = './your-coustom-script.js'; parentElement.append(script);"
frameborder='0'></iframe>
Ответ 18
Мне нужно было что-то похожее, но мне нужно было, чтобы скрипт оставался или создавался заново в том же месте, что и исходный скрипт, так как мой сценарий нацелен на местоположение тега скрипта в DOM для создания/целевых элементов. Я также сделал скрипт рекурсивным, чтобы убедиться, что он также работает, если он более чем на один уровень ниже.
ПРИМЕЧАНИЕ: я использую const здесь, если у вас старый браузер, просто используйте var.
window.exec_body_scripts = function(body_el) {
// ref: https://stackoverflow.com/questions/2592092/executing-script-elements-inserted-with-innerhtml based on Larry K answer
// Finds and executes scripts in a newly added element body.
// Needed since innerHTML does not run scripts.
//
// Argument body_el is an element in the dom.
const
type__Js = 'text/javascript',
tagName__Script = 'script',
tagName__Script__Upper = tagName__Script.toUpperCase();
var scripts = [], script, i;
function evalScript(elem) {
var parent = elem.parentNode,
data = (elem.text || elem.textContent || elem.innerHTML || ""),
script = document.createElement(tagName__Script);
script.type = type__Js;
try {
// doesn't work on ie...
script.appendChild(document.createTextNode(data));
} catch (e) {
// IE has funky script nodes
script.text = data;
}
// Make sure to re-insert the script at the same position
// to make sure scripts that target their position
// in the DOM function as expected.
var parent = elem.parentNode;
parent.insertBefore(script, elem);
parent.removeChild(elem);
};
// Get all scripts (recursive)
if (typeof (document.querySelectorAll) !== typeof (void 0)) {
document.querySelectorAll('script').forEach((scr) => { if (!scr.type || scr.type.toLowerCase() === type__Js) scripts.push(scr); });
}
else {
var children_nodes = body_el.childNodes, child;
for (i = 0; children_nodes[i]; i++) {
child = children_nodes[i];
if (
child.nodeName
&&
child.nodeName.toUpperCase() === tagName__Script__Upper
&&
(
!child.type
||
child.type.toLowerCase() === type__Js
)
) {
scripts.push(child);
}
// Recursive call
window.exec_body_scripts(child);
}
}
for (i = 0; scripts[i]; i++) {
evalScript(scripts[i]);
}
};
Ответ 19
У меня есть некоторые сомнения, я вижу, что многие инструкторы говорят, что мы не используем innerHTML по соображениям безопасности, в основном это XSS-атака. Сейчас я пытаюсь создать какой-то сайт, такой как jsfiddle, но не могу найти ничего, что выполняет javascript. Я знаю, что упомянутая вами функция может работать, но как хакер получит доступ к голове. Мой главный вопрос - как хакер выполнит XSS-атаку, написав свой код javascript внутри поля ввода, хотя я использовал innerHTML, но это просто вставит его код в элемент greetUser и ничего не случится. Например:
HTML код:
<!DOCTYPE html>
<html lang="en">
<head>
<title>IS XSS VULNERABLE</title>
</head>
<body>
<form id="someForm">
<input type="text" placeholder="Enter your name..." id="username">
<input type="submit">
</form>
<p id="greetUser"></p>
</body>
</html>
Код Javascript:
let form = document.querySelector("someForm");
let userName = document.querySelectore("#username");
let greetUser = document.querySelector("#greetUser");
form.addEventListener("submit", (ev) => {
ev.preventDefault();
greetUser.innerHTML = userName.value;
});
Ответ 20
Вот мое решение в недавнем проекте.
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Sample</title>
</head>
<body>
<h1 id="hello_world">Sample</h1>
<script type="text/javascript">
var div = document.createElement("div");
var t = document.createElement('template');
t.innerHTML = "Check Console tab for javascript output: Hello world!!!<br/><script type='text/javascript' >console.log('Hello world!!!');<\/script>";
for (var i=0; i < t.content.childNodes.length; i++){
var node = document.importNode(t.content.childNodes[i], true);
div.appendChild(node);
}
document.body.appendChild(div);
</script>
</body>
</html>
