我提交了一個 Firefox 擴展,它在 content-script.js 上使用 innerHtml。 html 內容是硬編碼的,多層嵌套div 和span 標籤,帶有id class... 屬性,沒有script 或a 標籤。實際資訊在後面的代碼中填寫。
1
358const myHtml = `..........`;
let elm = document.createElement('div');
elm.id = 'injectedWrapper';
elm.innerHTML = myHtml;
然而,AMO 仍然抱怨 insideHtml,即使它來自 const。
Due to both security and performance concerns, this may not be set using dynamic values which have not been adequately sanitized.
我已經閱讀了該指南,但截至目前,Firefox 的支援似乎仍然有限。我不想添加額外的js,因為它是內容腳本,最糟糕的是大量 createElement 但整個事情毫無意義。
那麼無論如何都要清理 html 內容以使 Firefox 滿意嗎?
好的,終於明白了。這是供日後參考的更新。
實際驗證是透過addons-linter完成的,看起來不太聰明足以分析程式碼。
這將會失敗:
這些都會起作用。