壞的React dangerouslySetInnerHTML示例?
[英]Example of bad React dangerouslySetInnerHTML?
問題描述
有沒有在ReactJS中濫用dangerouslySetInnerHTML的例子?
每次我查看它時,只是有人揮手並說“跨站點腳本”。
我已經看到危險的SetInnerHTML用於加載帶有css加載npm模塊的CSS文件:
import {stylesheet, classNames} from '../static/css/styles.css'
<Head><style dangerouslySetInnerHTML={{__html: stylesheet}} /></Head>
我正在考慮使用危險的SetInnerHTML來處理導致我的團隊麻煩的社交媒體共享按鈕的一些腳本標簽。
代碼示例和解釋如何使用XSS攻擊頁面將受到高度贊賞!
1 個解決方案
解決方案1
10 已采納 2017-06-16 16:04:29
<span dangerouslySetInnerHTML={someTextSubmittedByAUser}></span>
想象一下,如果您的頁面上有評論部分,並且有人提交了評論:
<script>while(1){}</script>
你剛剛將它作為內部HTML傳遞給某個節點。 現在,任何點擊加載該評論的頁面的人都會將其標簽鎖定。
人們可以做的事情要多得多。 例如,復制cookie並將其發送到遠程服務器。
渲染“ dangerouslySetInnerHTML”作為React組件的同級對象
[英]Rendering “dangerouslySetInnerHTML” as a sibling to React components
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.