爲什麼toStaticHTML刪除data- *屬性

Question

我的應用程序動態構建HTML內容爲一個字符串，並在完成時將內容附加到DOM。然而，在WinJS中，當我嘗試將字符串附加到DOM時，會引發異常。爲了解決這些異常問題，我必須通過運行toStaticHTML來清理HTML，這是在WinJS以及Internet Explorer中全局定義的。我遇到的問題是data-* html5屬性有很多用處。一旦我將它們運行到靜態HTML，它們將被剝離。爲什麼toStaticHTML刪除data- *屬性？他們真正的安全問題是什麼？

請注意，我無法在MSApp.execUnsafeLocalFunction中包裝DOM插入，因爲我正在使用jQuery，並且我不允許修改jQuery代碼。

var html = "<ul><li data-role='list-node'>My list node</li></ul>"; 
$('#container').html(toStaticHTML(html)); 

產地：

<ul> 
    <li>My list node</li> 
</ul> 

Answer 1

這是因爲有關插入HTML的隨機位到文檔中，並可能允許不安全的代碼到受保護的上下文中執行安全問題（您的應用程序，完全訪問WinRT和用戶文檔）。

toStaticHtml旨在保持在不斷變化的HTML /網絡模式的情況下，「安全」，從而它是一個白名單而非黑名單。

鑑於你挑戰，你必須在這裏我看到了以下選項：

• 包調用的jQuery在msExecUnsafeLocalFunction（見下文）。這意味着對於這個呼籲的生活，所有的Dom插入都會很好。這不需要更改jquery，只需要您的代碼。
• 完全重寫Jquery在封面下使用的任何DOM調用msExecUnsafeLocalFunction
• 將應用程序的安全上下文更改爲web上下文而不是本地上下文。這當然會讓你失去直接訪問WinRT的權限。您必須通過其他機制（I幀之間的消息或類似消息）進行操作
• 使用WinJS.Binding.Template呈現您的內容而不是Jquery。這克隆了節點而不是將HTML編成字符串
• 編寫自己的節點克隆器
• 在插入安全節點後，使用setAttribute設置屬性。 msExecUnsafeLocalFunction的

實例：

Answer 2

的data-role -attribute這裏沒有列出：http://msdn.microsoft.com/en-us/library/windows/apps/hh465388.aspx

這是一個未知屬性，將被刪除。

Answer 3

如文檔data提是不允許的：http://msdn.microsoft.com/en-us/library/windows/apps/hh465388.aspx