HTML气泡对消息提示有要求吗_消息提示中HTML气泡用法【经验分享】
2026-05-03 20:03:39
0浏览
收藏
本篇文章向大家介绍《HTML气泡对消息提示有要求吗_消息提示中HTML气泡用法【经验分享】》,主要包括,具有一定的参考价值,需要的朋友可以参考一下。
HTML气泡需防范XSS:仅允许白名单标签(strong、em、br、a且href限https?),禁用script等执行类标签及on事件;时间戳应作为子元素用margin微调对齐,禁用绝对定位;Safari需用JS而非:hover控制提示;z-index、伪元素定位、scrollHeight计算是跨端兼容关键。
HTML气泡本身不校验内容,但实际用在消息提示场景时,innerHTML 插入未转义的用户输入会直接触发 XSS;必须做 HTML 实体转义或使用 textContent 渲染纯文本。
气泡内容是否允许 HTML 标签
允许,但有明确边界: