class="noselect">[</span><a class="favname" href="'+EscapeAttr(fav.fav_url)+'" onclick="return false;" >'+EscapeAttr(fav.fav_name)+'</a><span class="noselect">] '+EscapeAttr(fav.fav_count||'')+'</span>';
Или:
ret += '<div class="artsquare">';
ret += img_tag('class="artpic'+(small?' small':'')+'" data-art="'+EscapeAttr(id)+'" data-src="'+EscapeAttr(wix)+'" data-doubled="0" data-x2="'+EscapeAttr(x2)+'" src="'+EscapeAttr(url)+'" data-err="'+EscapeAttr(err)+'" onload="img_onload(this)" onerror="img_onerror(this)" onmousemove="img_mousemove(this)" onmouseleave="img_mouseleave(this)" onclick="img_click(this)"',true);
ret += '</div>';
, где
function img_tag(attr,cors){
return '<img loading="eager" decoding="async"'+(cors?' crossorigin="anonymous"':'')+ 'referrerpolicy="origin" data-cors="'+(+!!cors)+'" '+attr+' />';
};
Тебя в любом случае регулярка не защитит на 100%, это понимаешь?
Впрочем, там есть href="'+EscapeAttr(fav.fav_url)+'" – это потенциально небезопасно, да. Но конкретно тут, fav – это мой объект, и там валидировался домен, куда ведёт ссылка, вместе с протоколом. Хотя, действительно стоит ещё раз аудит сделать…
Обсуждают сегодня