本文討論的方法本人并沒有在實際項目中應用過，因為我還沒有遇到有這樣需要的項目，但試驗發(fā)現可行。

一、我的想法來源

JavaScipt是好東西，它的出現讓網頁頁面表現形式更活潑，當然好處絕不僅僅就這些，而近些年來紅紅火火的AJAX應用更讓人開始重視JavaScipt小語言（好些程序牛人不把它看作語言，最多是腳本稱號，甚至看不起搞腳本的人）的應用?，F在好些博客官網開放腳本權限，允許用戶自定義腳本來豐富自己的空間，特別像一些技術類專業(yè)博客，提供了相當寬松的開發(fā)環(huán)境。但是我們也發(fā)現好些博客會對某些腳本方法作限制。注意，我這里說的是部分限制，如果是全部限制那是很簡單的事，直接把<script>腳本塊過濾掉就行了，但是部分限制又是如何做到的呢？

因為我在之前的項目中沒有遇到這樣的問題，所以也沒有作過多的深入研究，一開始只是憑感覺想到用“替換”方法。很顯然這樣的方法行不通，因為可能會出錯。比如我要禁用alert方法，現有下面那段代碼：

現在要讓上面那段代碼失效，只要讓alert變一下就行了，比如把它全部改成大寫ALERT，這樣又肯定會報腳本錯誤的，但還是可以用try{}catch{}把ALERT包含起來，但這對禁用語包的識別又是一大難題，而且還會有這樣的錯誤：把document.write('alert some message');中的alert也替換了。

后來我想到了方法重寫，重寫要禁用的方法，并讓它什么也不做，結果證明真的可行，但并不知道是不是一個科學的方法，我拿出來與大家共同討論一下。

二、具體實現

先看下面的代碼，實現了對“alert”，“write”兩個方法的禁用：

看起來真的很簡單，在實際應用的時候，把前面兩行單獨抽出來存在一個外部JS文件中，并在需要過濾JavaScript方法的頁面先加載這個JS文件（也可以在用戶編輯內容塊的前一行加載這個腳本，這樣之前的HTML塊中我們管理員或網頁制作者還是可以用將要被禁用的方法），這樣之后調用被禁用的方法是不起作用的了。

注意：最后提醒一下，還要禁用部分DOM操作方法，比如remove()方法，因為用戶可以用DOM的操作方法移除你一開始加載的那個JS文件。

最新評論