官方解释
概要
- XSS漏洞的原理是在一个用户申请页面中注入恶性脚本,用户发送申请后,潜伏在页面中的恶性脚本便起效破坏公开页面。(比如我发表评论"这条新闻很有意思",发送后别人看到的可能是"你们都是大笨猪")
- XSS漏洞可以被用来躲避“同源策略”等监控设施。
预防
- 预防原理
jsx保证{}中嵌入的内容一律被转化为字符串类型
var content='<strong>content</strong>';
React.render(
<div>{content}</div>,
document.body
);
输出内容为
<strong>content</strong>
dangerouslySetInnerHTML
如果你想在jsx中放入一个html标签,有两种方法
- (不推荐)
render() {
return (
<div>
<strong>ddd</strong>
</div>
);
}
}
function createMarkup() {
return {__html: '<strong>ss</strong>'};
}
function Bpp() {
return <div dangerouslySetInnerHTML={createMarkup()} />;
}