20
我在React教程上阅读了这个。这是什么意思?当他们说React受XSS保护时,这意味着什么?
React is safe. We are not generating HTML strings so XSS protection is the default.
如果React不安全,XSS攻击如何工作?这种安全性如何实现?
我在React教程上阅读了这个。这是什么意思?当他们说React受XSS保护时,这意味着什么?
React is safe. We are not generating HTML strings so XSS protection is the default.
如果React不安全,XSS攻击如何工作?这种安全性如何实现?
反应会自动为您逃脱一切。
因此,例如,让我们说,如果你尝试在反应
render() {
return (
<div>{htmlString}</div>
);
}
,你会在页面上从字面上看整个字符串包括<span>
元素来渲染这个字符串你有这样的字符串
var htmlString = '<img src="javascript:alert('XSS!')" />';
标签。又名在浏览器中,你会看到
如果查看HTML源文件,你会看到
<span>"<img src="javascript:alert('XSS!')" />"</span>
Here is some more detail on what an XSS attack is
阵营基本上使得它如此,除非你创建的元素你自己,你不能插入标记在渲染函数中......据说他们确实有一个函数允许这种渲染叫做dangerouslySetInnerHTML
... here is some more detail about it