ReactJS 中的安全漏洞或漏洞?

【问题标题】:Security holes or vulnerabilities in ReactJS?ReactJS 中的安全漏洞或漏洞?
【发布时间】:2015-05-13 21:09:02
【问题描述】:

我试图弄清楚 ReactJS 可能会出现什么样的安全问题,但我找不到任何问题。谷歌快速搜索 Angular 会带来一些有用的网站。它们适用于 ReactJS 还是有人可以解释一下?

【问题讨论】:

  • 它是 JavaScript 和 HTML。我不确定您希望找到哪些值得注意的安全问题。它甚至没有内置的 Ajax。 facebook.github.io/react/tips/dangerously-set-inner-html.html
  • 好吧,如果没有任何值得注意的安全问题,那么我想我可以使用您拥有的链接。我只需要对可能的担忧进行总体概述。谢谢!

标签: security reactjs


【解决方案1】:

正如@WiredPrarie 指出的那样,React 会自动 escapes for XSS

如果你想在动态内容中显示一个 HTML 实体,你会遇到双重转义问题,因为 React 会转义你正在显示的所有字符串,以默认防止各种 XSS 攻击。

可以看到最近发现的漏洞示例here,但早已修复。

另请参阅 link 关于插入原始 html。

请注意,使用同构/服务器端渲染可能会产生潜在的漏洞,尤其是在初始状态嵌入到要提供的页面中的情况下。看到这个link

【讨论】:

    猜你喜欢
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式