innerHTML и html со скриптом

[VBog]

Ткните носом, пожалуйста!
Второй день сижу любуюсь на три строчки:

var el = document.getElementById('content_id');
var html = refs_proc(el.innerHTML);
el.innerHTML = html;		// Что делать?

Забираем из <div id='content_id'> текст, написанный пользователем. Обрабатываем его в refs_proc() (добавляет ссылки по заданной комбинации символов - работает исправно, не грешу). И отправляем обратно в <div id='content_id'>. Все хорошо, за исключением того, что в тексте пользователя может оказаться <script>...</script> (где и сколько - только пользователь знает), а скрипты, как известно, с innerHTML не дружат. В голове кружатся какие-то дикие схемы с разбором текста на код-некод. Чувствую, что есть простое решение - не я первый кто с этим сталкивается, но зациклился... Помогите!

[BETEPAH]

например, заменять <script> на <js>

[Deff]

var el = document.getElementById('content_id');
var html = refs_proc(el.innerHTML);
el.innerHTML = html.replace(/<([^<>]*?script[^<>]*?>)/img,'&lt;$1&gt;');        // Что делать?

<div id='content_id'></div>


<script type="text/javascript">
var el = document.getElementById('content_id');
var html = '<b>Вася</b><script type="text/javascript">alert("Привет")<\/script>'
el.innerHTML = html.replace(/<([^<>]*?script[^<>]*?)>/img,'&lt;$1&gt;');
</script>

[VBog]

Deff, увы. Дело именно в том, что в результатах должно вылезти не Вася<script type="text/javascript">alert("Привет")</script>, а Вася и появится окно сообщения с Приветом!То есть, скрипт должен сработать!

[BETEPAH]

Сообщение от VBog

скрипт должен сработать

Или eval или .createElement('script'), но в обоих случаях придется парсить текст, ловить тег скрипта.

[VBog]

eval пробовал - не тянет. А на .createElement я как раз и зациклился - очень длинно получается.
Однако, большое спасибо за мысль о подмене символов в <script>. Может что-нибудь соображу по поводу <scr+ipt>....

[Deff]

Сообщение от VBog

Вася и появится окно сообщения с Приветом!То есть, скрипт должен сработать!

C чегой то ? мы заменили угловые скобки на текстовый вариант,
Иначе подобные теги работали в любом cообщении.
Видите Вася - жирный, а скрипт - текст - иначе бы он не был виден

[Deff]

Сообщение от BETEPAH

Или eval или .createElement('script'), но в обоих случаях придется парсить текст, ловить тег скрипта.

Дык я думал нужно исключить срабатывание
Скрипты от пользователей - чреваты, в том числе и взломом сайта,
Их запускают в изолированном фрейме, либо ток на текущем пользователе по кнопке DEMO (тогда запуск только у текущего пользователя
По кнопке аppendChild элемент с контентом в нужное место

А так - типичный Вариант применения зловреда - считывания юзер пароля, с предварительным aвтовыкидыванием пользователя с сайта

[BETEPAH]

Сообщение от Deff

либо ток на текущем пользователе по кнопке DEMO

Мне кажется, это именно тот случай

[VBog]

Сообщение от Deff

А так - типичный Вариант применения зловреда

Да, Вы абсолютно правы, а следовательно, либо кнопка, либо без php и сервера не обойтись.

Но, вот что интересно, совершенно случайно заметил такую особенность, (причем на всех браузерах), если этот скрипт(<script type="text/javascript">alert("Привет")<\script>) еще выполняется, и провести сразу операцию обновления, Петя на Васю замениться, а скрипт останется не поврежденным!

<div id='content_id'>
   <b>Петя</b><script type="text/javascript">alert("Привет")<\script>
</div>
<script type="text/javascript">
   var el = document.getElementById('content_id');
   var html =el.innerHTML;
   el.innerHTML = html.replace("Петя","Вася");
</script>

До конца этот механизм работы я не понял, но это так... для общего развития.