innerHTML应用

在web开发中，innerHTML属性为我们提供了一个便捷的方式来替换HTML元素的内容。尽管DOM Level 2 API（如removeChild、createElement和appendChild）提供了更为细致的控制，但innerHTML因其简洁性而广受欢迎。使用innerHTML时，我们必须警惕其背后隐藏的一些问题。

当HTML字符串包含标记为defer的script标签时，如innerHTML属性处理不当，在Internet Explorer上可能会引发脚本注入攻击。设置innerHTML会破坏已注册事件处理函数的HTML元素，可能导致某些浏览器出现内存泄漏的风险。除此之外，还有一些其他的缺点值得我们注意。

对于这些问题，已经有一些解决方案被提出。其中，Douglas Crockford提出的清除函数可以有效解决由于HTML元素注册事件处理函数导致的循环引用问题，使垃圾回收器能够释放与这些HTML元素关联的内存。对于如何移除HTML字符串中的script标签，虽然看似简单，但需要一个精确的正则表达式来确保覆盖所有可能性。

我们将这两种技术结合在一个单独的setInnerHTML函数中，并将其绑定到YUI的YAHOO.util.Dom上。这个函数首先会中止循环引用，然后从HTML字符串中移除script标签并设置innerHTML属性。它返回第一个子节点的引用。

尽管我们有这个函数，但在网页上仍然有许多其他注入恶意代码的方法。setInnerHTML函数只能在所有A级浏览器上规范