参照:
原理:利用页面的输入框,在其中写一些javascript代码,注入自己的恶意攻击
避免方法:不信任所有的输入,即对其中的所有<,>等做转义处理
react可以做到xss防护:因为它会将所有输入转义,因此当它接受到输入,并放到render中渲染时,输入总是string。即web页面中的输入框,你输入一段恶意代码。当该form表单post到服务器时,服务器提取表单内容,将它们都做为string处理,而不会做为javascript,从而不会被注入恶意javascript。
只有当你直接在render中写相应的html、javascript代码时,它们才会被解析会相应的html、javascript。react也提供了相应的后门,即dangerouslySetInnerHTML。例如你想将输入的markdown按预期输出,而非普通string输出,则可以采用该后门来做。参照dangerously Set innerHTMl,turorial中的markdown处理