вообще, в javascript, не использует innerHTML [in] проблема безопасности?
сDOM
и крутые новые инструменты, такие какreactjs
, долженinnerHTML
когда-либо использоваться вjavascript
программа?
его использование во многом похоже на то, как открыть себя для атаки с использованием SQL-инъекций, но здесь это межсайтовый скриптинг и т. д. все должно быть проверено и очищено перед использованием.
мне кажетсяinnerHTML
имеет те же проблемы безопасности, что иeval()
и его следует избегать по соображениям безопасности.
(тоже эстетично, но это только я.)