, Если у вас есть взломанная база данных, вам нужно беспокоиться не только о XSS. Этот пост имеет некоторый контроль за такими угловыми случаями.
аю телегид с React. Im тянет показать информацию из этого API:http://api.tvmaze.com/episodes/333
Как вы можете видетьsummary
содержит HTML. Если я рендеринг поля, то HTML интерпретируется как строка, что означает, что вы можете увидеть<p>
теги и т. д. на странице.
Я знаю, что это сделано из соображений безопасности, и я мог бы использоватьdangerouslySetInnerHTML
но его обескураживают, так что лучше для этого? Это должно быть довольно распространенным явлением для получения отформатированного текста из API и необходимости его визуализации. Я удивлен, что нет фильтра, который позволил бы<p>
<h1>
и т. д., но не теги сценария.