那些遇到过的问题

在ReactJS中输入清理

Sha*_*P S 16 xss sanitization input-sanitization reactjs

我正在使用ReactJS做一个简单的聊天应用程序.有人可以帮我清理输入.只有一个输入文本框可以发送聊天消息.如何消毒呢?

<input type="text"
              className="chat"
              value={this.state.name}
            />
Run Code Online (Sandbox Code Playgroud)

基于文档HTML默认情况下转义为html.够了吗?我是否需要添加任何其他清理方法.如果是,请告诉我怎么做?

dgr*_*ela 20

默认情况下它已经过清理,除非你使用的是dangerouslySetInnerHTML,否则你不需要清理方法.

  • https://facebook.github.io/react/docs/introducing-jsx.html#jsx-prevents-injection-attacks"默认情况下,React DOM会在渲染之前转义JSX中嵌入的任何值.因此它确保您永远不会注入未在应用程序中明确写入的任何内容.在呈现之前,所有内容都会转换为字符串.这有助于防止XSS(跨站点脚本)攻击. (8认同)

小智 6

JSX 表达式 {} 在渲染之前自动处理 HTML 编码,这意味着即使您不清理输入,您的网页也是 XSS 安全的。

请参考react站点中的此DOC:jsx-prevents-injection-attacks

注意:如果您希望用户允许输入 HTML..,那么您需要输入 Sanitisation,并且必须使用危险的SetInnerHTML,如上面帖子中提到的@dgrijuela。

归档时间:

查看次数:

9014 次

最近记录:

6 年,7 月 前
相关归档
下一个/路由器和下一个/导航有什么区别? 25
是否需要消毒JSON? 19
如果 SSR 不是目标,最好将 Next.js 与 ASP.NET Core Web api 一起使用吗? 14
ClassName样式不起作用 11
React-Redux连接打字稿中的问题 10
如何向 Material UI 添加自定义字体粗细? 9
如何通过 getStaticPaths 使用多个嵌套动态路由? 9
使用Redux在两个React表单组件之间进行通信 8
如何使 react-dropzone 中的预览与图像以外的文件一起使用? 8
使用vite时如何识别typescript中的env变量? 8
难疑归档
如何使用正则表达式验证电子邮件地址? 3201
什么是反思,为什么它有用? 2011
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
用PHP将HTML + CSS转换为PDF? 1585
如何删除导出的环境变量? 1439
什么是monad? 1373
如何查看仅一个用户提交的git日志? 1178
如何向给定元素添加类? 1109
如何查看运行我的脚本的Python版本? 1099
Ukkonen的简明英语后缀树算法 1065