React的一些优秀的安全实践_0

);}避免直接操作DOM和注入HTML除了dangerouslySetInnerHTML，我们还可以当然直接通过原生DOMAPI插入HTML：另外，我们也可以通过ref访问DOM来插入HTML：这两个操作都是相当危险的操作。既然用的是React，那你就应该尽量用React的方式写代码，尽量不要直接操作DOM。如果真的要渲染富文本，建议使用上面提到的dangerouslySetInnerHTML，数据被过滤或者转义。服务器端渲染数据绑定还在使用服务器端渲染函数（例如ReactDOMServer.renderToString()和ReactDOMServer.renderToStaticMarkup()）时提供自动内容转义。避免在将字符串发送到客户端进行注水之前将字符串直接连接到renderToStaticMarkup()的输出。为了避免XSS，不要将未过滤的数据与renderToStaticMarkup()的输出连接起来：null,"HelloConardLi!"))+otherData);});JSON注入将JSON数据与服务器端渲染的React页面一起发送是很常见的。始终对<字符进行转义，避免注入攻击：window.JSON_DATA=${JSON.stringify(jsonData).replace(/TestURLinjectsaplainlink