Fa temps els navegadors van prohibir URL amb protocol javascript: pels problemes de seguretat que podien portar. Per exemple
javascript:alert('hola');
Però van deixar el protocol data:. Amb el qual es pot fer el mateix:
data:text/html,<script>alert('hola');</script>
Les noves versions dels navegadors arreglaran aquest problema i només deixaran data: pels següents casos:
-
User explicitly entering/pasting “data:…” into the address bar
-
Opening all plain text data files
-
Opening “data:image/*” in top-level window, unless it’s “data:image/svg+xml”
-
Opening “data:application/pdf” and “data:application/json”
-
Downloading a data: URL, e.g. ‘save-link-as’ of “data:…”
Més informació: