使用DOM 和reactjs 等酷炫的新工具,innerHTML 是否应该在javascript 程序中使用?
使用它很像让自己面临 SQL 注入攻击,但在这里它是一个跨站点脚本等。在使用之前需要检查和清理所有内容。
在我看来 innerHTML 与 eval() 存在相同的安全问题,出于安全原因应避免使用。
(在美学上也是如此,但这只是我。)
【问题讨论】:
标签: javascript security sql-injection innerhtml
是的,innerHTML 经常被滥用,并且是客户端 HTML 注入 (DOM-XSS) 安全漏洞的常见来源。
通常最好使用对象样式的创建方法,例如createElement、textContent 和设置直接DOM 属性。同样在 jQuery 中,更喜欢使用 .text() 和 .prop() 而不是 .html() 设置可变内容,或者将 HTML 标记传递给允许它的操作方法。
但也有一些例外:
如果您使用的是自动为您处理 HTML 转义的客户端模板语言(例如带有 <%- 的 lodash 模板),将输出写入 innerHTML 是安全的。
如果您将许多同级元素附加到单个元素并且性能是优先考虑的(通常的示例是具有大量行的 <table>),那么 HTML 标记创建可能是值得的,您只需要小心手动对所有文本进行 HTML 转义
内容实际上应该是 HTML 的地方,例如您有从 Markdown 处理的数据。
【讨论】: