Czy w przypadku React użycie dangerouslySetInnerHTML kiedykolwiek jest poprawne czy zawsze naraża ono na ataki typu XSS?
0
2
To jest jak wkładanie palców do gniazdka. Najpierw musisz mieć 100% pewności, że nie ma w nim napięcia.
0
Np w tym przypadku jak wstrzyknąć skrypt do obiektu __html?
function createMarkup() {
return {__html: 'Pierwszy · Drugi'};
}
function MyComponent() {
return <div dangerouslySetInnerHTML={createMarkup()} />;
}
0
kaczor19 napisał(a):
Czy w przypadku React użycie dangerouslySetInnerHTML kiedykolwiek jest poprawne czy zawsze naraża ono na ataki typu XSS?
Tak, naraża. Nigdy tego nie należy używać. Jak trzeba wyrenderować jakiś HTML w komponencie, użyj react-html-parser
.