如果我使用JavaScript进行'cats & dogs'来预先转义要设置的标题字符串document.title='cats & dogs';,则将在Title中获得确切的标题,而在HTML中获得'cats & dogs'。
因此,显然正确的是将unscaped字符串传递给document.title,但是我想放心,请问这在所有浏览器中是否可靠且安全,而且没有浏览器会设置类似<script>的名称未转义。
HTML spec for document.title表示在设置值时使用document.title。这意味着它将创建一个Text节点并将其内容设置为所需的值。由于文本节点不能包含HTML,因此在所有浏览器中都应该安全。