我如何安全地從 React 組件渲染 Markdown?
[英]How do I SAFELY render Markdown from a React component?
問題描述
我想在我的 ReactJS 應用程序中顯示降價,但它的安全完成很重要。 我將顯示的降價文件是不受信任的公共內容。
我見過各種解決方案,它們都使用危險的SetInnerHTML。
我不禁想到這可能很危險。
任何人有任何想法?
謝謝
2 個解決方案
解決方案1
7 已采納 2016-04-12 23:32:07
他們非常刻意地給dangerouslySetInnerHTML的SetInnerHTML起了一個可怕的名字,以確保人們會非常仔細地考慮他們是否需要使用它/他們是否正確使用它。 看到你問這個問題,顯然它做得很好! 但 Markdown 渲染實際上是一種必要的情況。
基本上,它歸結為:只有當您事先沒有確保放入其中的內容是安全的時, dangerouslySetInnerHTML才是危險的。 要小心,但不要被它嚇跑!
編輯:正如 Waylan 在評論中提到的,我給出的例子非常幼稚,沒有考慮到XSS 攻擊可以通過 Markdown 實現的其他方式。 您很可能希望通過 sanitizer 而不是/以及輸入來運行輸出,否則很可能會生成惡意 HTML,而無需執行像嵌入script標簽那樣簡單的操作。 不過,我的回答的要點保持不變; dangerouslySetInnerHTML只和你放入的東西一樣危險。 做你的研究,確保輸入是安全的,你會沒事的。
解決方案2
1 2019-11-20 14:04:50
在 typescript 中,如何安全地將字符串中的錨標記渲染為 React 組件?
[英]In typescript, how can I safely render an anchor tag in a string as a react component?
如何安全地將 API 密鑰傳遞給 React 組件所需的 React 前端
[英]How do I safely pass API keys to a React Front end that is needed for a React Component
React:如何僅在從映射數組單擊組件后才在頁面上呈現該組件?
[英]React: How do I only render a component on the page once I click on it from a mapped array?
如何使用自定義DOM節點從react組件內渲染到
[英]How do I use a custom DOM node to render to from within a react component
React.js:如何從數組中渲染組件中特定類別的數據?
[英]React.js: how do i render a particular category of data in a component from an array?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何從 React 組件渲染 Markdown?
React Markdown - 如何將自定義短代碼渲染到組件中
如何將 Markdown 文件加載到 React 組件中?
在 typescript 中,如何安全地將字符串中的錨標記渲染為 React 組件?
如何將 React 組件渲染到主 App 組件中/
如何安全地將 API 密鑰傳遞給 React 組件所需的 React 前端
如何在反應中安全地呈現 html?
React:如何僅在從映射數組單擊組件后才在頁面上呈現該組件?
如何使用自定義DOM節點從react組件內渲染到
React.js:如何從數組中渲染組件中特定類別的數據?
相關標簽