URL amb protocol data: en comptes html:

Fa temps els navegadors van prohibir URL amb protocol javascript: pels problemes de seguretat que podien portar. Per exemple

javascript:alert('hola');

Però van deixar el protocol data:.  Amb el qual es pot fer el mateix:

data:text/html,<script>alert('hola');</script>

Les noves versions dels navegadors arreglaran aquest problema i només deixaran data: pels següents casos:

• User explicitly entering/pasting “data:…” into the address bar

• Opening all plain text data files

• Opening “data:image/*” in top-level window, unless it’s “data:image/svg+xml”

• Opening “data:application/pdf” and “data:application/json”

• Downloading a data: URL, e.g. ‘save-link-as’ of “data:…”

Més informació:

• https://blog.mozilla.org/security/2017/11/27/blocking-top-level-navigations-data-urls-firefox-58/

Tweet