Tôi đã đọc phần này trên hướng dẫn React. Điều đó có nghĩa là gì?Có nghĩa là gì khi họ nói React là XSS được bảo vệ?
React is safe. We are not generating HTML strings so XSS protection is the default.
Tấn công XSS hoạt động như thế nào nếu Phản ứng không an toàn? Sự an toàn này đạt được như thế nào?
phản ứng tự động thoát khỏi mọi thứ cho bạn.
nên ví dụ giả sử bạn có chuỗi
var htmlString = '<img src="javascript:alert('XSS!')" />';
này nếu bạn cố gắng để làm cho chuỗi này trong phản ứng
render() {
return (
<div>{htmlString}</div>
);
}
bạn có nghĩa là sẽ thấy trên trang toàn bộ chuỗi bao gồm các yếu tố <span> nhãn. aka trong trình duyệt, bạn sẽ thấy
nếu bạn xem html nguồn bạn sẽ thấy
<span>"<img src="javascript:alert('XSS!')" />"</span>
Here is some more detail on what an XSS attack is
Phản ứng về cơ bản làm cho nó, do đó bạn không thể chèn đánh dấu trừ khi bạn tạo các yếu tố tự trong hàm render ... được nói rằng chúng có chức năng cho phép hiển thị như vậy gọi là dangerouslySetInnerHTML ... here is some more detail about it