我正在显示用户对 DomPurify 做出反应的评论。当用户输入一个危险的字符串时:例如'它被编码,我怎样才能安全地解码它?
这是代码:
<p className="donor-comment">
{DOMPurify.sanitize(hit.comment)}
</p>
提前致谢
我正在显示用户对 DomPurify 做出反应的评论。当用户输入一个危险的字符串时:例如'它被编码,我怎样才能安全地解码它?
这是代码:
<p className="donor-comment">
{DOMPurify.sanitize(hit.comment)}
</p>
提前致谢
您不必手动或使用第三方库(如 DOMPurify)来转义用户输入。React DOM 默认情况下会这样做。
https://reactjs.org/docs/introducing-jsx.html#jsx-prevents-injection-attacks
默认情况下,React DOM 在渲染它们之前会转义 JSX 中嵌入的任何值。因此,它确保您永远不会注入任何未明确写入应用程序的内容。在渲染之前,所有内容都转换为字符串。这有助于防止 XSS(跨站点脚本)攻击。