从经过消毒的html设置innerHtml仍然很危险吗?

列维007

react中有一个innerHtml的替代品:dragonallySetInnerHTML。

它的名字吓到我了。

在React文档中,我读到:

通常,从代码设置HTML是有风险的,因为很容易使用户无意间受到跨站点脚本(XSS)攻击。

但是我用dompurify清理了html。这样可以完全保护我免受XSS攻击吗?

一定的表现

但是我用dompurify清理了html。这样可以完全保护我免受XSS攻击吗?

可能是的,但不能100%保证。如果DOMPurify没有使XSS通过的错误,设置innerHTMLdangerouslySetInnerHTML使用它的结果将是安全的。DOMPurify是开源的并且相对流行,因此,如果它确实具有这样的漏洞,那么现在很可能已经看到了它们。

但是,就像人类所做的一切一样,导致未发现漏洞的错误和巧合仍然是可能的。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

来自分类Dev

角度2:如何将指令应用于经过消毒的html / innerhtml

来自分类Dev

危险地设置InnerHTML和<Link>

来自分类Dev

如何访问由Enzyme测试中的危险地设置InnerHTML创建的实际呈现的HTML

来自分类Javascript

React.js:设置innerHTML vs危险地设置InnerHTML

来自分类Dev

危险地设置内部HTML是从React中的API渲染HTML的唯一方法吗?

来自分类Dev

JSX组件+危险地设置内部HTML?

来自分类Dev

使用危险设置内部HTML中的React组件进行React

来自分类Dev

HTML到Javascript到PHP。这很危险吗?

来自分类Dev

在设置innerHtml之前应该“清除”元素吗?

来自分类Dev

Google Chrome仍然支持HTML导入吗?

来自分类Dev

去提供可变消毒吗?

来自分类Java

Java Applet危险吗?

来自分类Dev

HTTP GET设置内部数据,仍然认为是RESTful的吗?

来自分类Dev

设置innerHTML会增加HTML节点数

来自分类Dev

React是否会将危险地将SetInnerHTML中设置的html代码片段转换为虚拟DOM?

来自分类Dev

禁用延迟加载有危险吗?

来自分类Dev

通过引用捕获异常危险吗?

来自分类Dev

在Python中切片很危险吗?

来自分类Dev

Kotlin lateinit属性,NPE有危险吗?

来自分类Dev

指针可以经过什么处理并且仍然有效?

来自分类Javascript

Angular:我可以完全禁用消毒功能吗?

来自分类Javascript

在JavaScript块上使用HTML注释仍然有意义吗?

来自分类Javascript

innerHTML是异步的吗?

来自分类Java

MyEclipse:仍然值得使用吗?

来自分类Dev

SqlBulkCopy仍然比Dapper快吗?

来自分类Java

经过测试的READ_PHONE_STATE的Android M权限(危险权限)

来自分类Javascript

除了.innerHTML之外,还有其他将Javascript生成的HTML插入DOM的选项吗?

来自分类Dev

是否仍然“依靠使用Swift的二进制框架危险”?

来自分类Java

Java范围:返回在方法内部实例化的对象-危险吗?

TOP 榜单

热门标签

归档