为什么某些网站(或为客户提供JavaScript代码的广告商)采用在呼叫内拆分<script>和/或</script>标签的技术document.write()?
我注意到亚马逊也这样做,例如:
<script type='text/javascript'>
if (typeof window['jQuery'] == 'undefined') document.write('<scr'+'ipt type="text/javascript" src="http://z-ecx.images-amazon.com/images/G/01/javascripts/lib/jquery/jquery-1.2.6.pack._V265113567_.js"></sc'+'ript>');
</script>
Answers:
</script>必须将其拆开,因为否则会<script></script>过早结束封闭块。确实应该在<和之间进行分割/,因为脚本块(根据SGML)应该由任何结束标签打开(ETAGO)序列(即</)终止:
尽管STYLE和SCRIPT元素将CDATA用作其数据模型,但是对于这些元素,用户代理必须对CDATA进行不同的处理。标记和实体必须视为原始文本,并按原样传递给应用程序。字符序列“
</”(结束标签开放定界符)的首次出现被视为终止元素内容的末尾。在有效文档中,这将是元素的结束标记。
但是在实践中,浏览器仅结束对实际</script>关闭标签的CDATA脚本块的解析。
在XHTML中,对脚本块没有这种特殊处理,因此它们中的任何<(或&)字符都必须&escaped;与其他任何元素一样。但是,随后将XHTML解析为老式HTML的浏览器会感到困惑。有一些涉及CDATA块的解决方法,但最简单的方法是避免使用这些未转义的字符。从可以在任一类型的解析器上运行的脚本编写脚本元素的更好方法是:
<script type="text/javascript">
document.write('\x3Cscript type="text/javascript" src="foo.js">\x3C/script>');
</script>
<\/script>在这种情况下可以,但是只能在HTML中使用;在没有额外的CDATA节包装的XHTML中,它仍然是格式错误。另外,您还可以使用\x3C内联事件处理程序属性,<这些属性在HTML和XHTML中都将无效,因此它具有更广泛的适用性:如果我选择了一种易于自动化的方法来在所有上下文中转义JS字符串文字中的敏感字符,那就是我要去的那个。
<可以在内联事件处理程序属性中使用。html5.validator.nu/…而且您对\x3Csich 的XHTML兼容性是正确的,但是由于XHTML 无论如何都不支持document.write(或innerHTML),所以我看不到它的意义。
document.write无关紧要,它恰好是示例。OP可以使用innerHTML,这是</在标记解析器中隐藏字符序列(无论发生在何处)的方法。只是大多数解析器在严格不应该的情况下才在脚本元素中容忍它(但是HTML解析器非常容忍)。您是正确的,尽管<\/在所有情况下都足以满足HTML要求。
document.write('<script src="foo.js">\x3C/script>')在回到IE6的所有浏览器中似乎就足够了。(我省略了type属性,因为HTML5不需要该属性,也不是任何浏览器都必须执行。)
这是我想要生成内联脚本标记(以便立即执行)而无需任何形式的转义时使用的另一种变化:
<script>
var script = document.createElement('script');
script.src = '/path/to/script.js';
document.write(script.outerHTML);
</script>
(注意:与网络上的大多数示例相反,我type="text/javascript"既未设置封闭标签,也未设置生成的标签:没有浏览器没有将其作为默认标签,因此这是多余的,但也不会受到损害,如果您不同意)。
Bobince发布的解决方案非常适合我。我也想为将来的访客提供一种替代方法:
if (typeof(jQuery) == 'undefined') {
(function() {
var sct = document.createElement('script');
sct.src = ('https:' == document.location.protocol ? 'https' : 'http') +
'://ajax.googleapis.com/ajax/libs/jquery/1.10.1/jquery.min.js';
sct.type = 'text/javascript';
sct.async = 'true';
var domel = document.getElementsByTagName('script')[0];
domel.parentNode.insertBefore(sct, domel);
})();
}
在此示例中,我包括了jQuery的条件加载以演示用例。希望对某人有用!
将</script>在JavaScript字符串litteral内部由HTML解析器关闭标签的解释,从而导致意外的行为(见例如上的jsfiddle)。
为避免这种情况,您可以将javascript放在注释之间(这种编码风格是一种常见的做法,早在浏览器之间对Javascript的支持不佳的情况下)。这将起作用(请参阅JSFiddle中的示例):
<script type="text/javascript">
<!--
if (jQuery === undefined) {
document.write('<script type="text/javascript" src="http://z-ecx.images-amazon.com/images/G/01/javascripts/lib/jquery/jquery-1.2.6.pack._V265113567_.js"></script>');
}
// -->
</script>
...但是说实话,使用document.write并不是我认为的最佳做法。为什么不直接操作DOM?
<script type="text/javascript">
<!--
if (jQuery === undefined) {
var script = document.createElement('script');
script.setAttribute('type', 'text/javascript');
script.setAttribute('src', 'http://z-ecx.images-amazon.com/images/G/01/javascripts/lib/jquery/jquery-1.2.6.pack._V265113567_.js');
document.body.appendChild(script);
}
// -->
</script>
append不是appendChild。更正了答案。感谢您的关注!
\/是有效的转义序列/,那么为什么不使用它代替那些字符串文字转义<呢?例如document.write('<script src=foo.js><\/script>');。而且,</script>不是唯一可以关闭<script>元素的字符序列。一些更多的信息在这里:mathiasbynens.be/notes/etago