0

我正在显示用户对 DomPurify 做出反应的评论。当用户输入一个危险的字符串时:例如'它被编码,我怎样才能安全地解码它?

编码字符串反应

这是代码:

 <p className="donor-comment">
    {DOMPurify.sanitize(hit.comment)}
 </p>

提前致谢

4

1 回答 1

1

您不必手动或使用第三方库(如 DOMPurify)来转义用户输入。React DOM 默认情况下会这样做。

https://reactjs.org/docs/introducing-jsx.html#jsx-prevents-injection-attacks

默认情况下,React DOM 在渲染它们之前会转义 JSX 中嵌入的任何值。因此,它确保您永远不会注入任何未明确写入应用程序的内容。在渲染之前,所有内容都转换为字符串。这有助于防止 XSS(跨站点脚本)攻击。

于 2022-02-22T11:40:06.113 回答