我试图弄清楚ReactJS可能会出现什么样的安全问题,但我找不到任何问题。谷歌快速搜索Angular会带来一些有用的网站。它们是否适用于ReactJS或有人可以解释它吗?
答案 0 :(得分:4)
正如@WiredPrarie自动指出React escapes for XSS。
如果要在动态内容中显示HTML实体,则会遇到双重转义问题,因为React会转义您正在显示的所有字符串,以便在默认情况下防止大范围的XSS攻击。
可以看到最近发现的漏洞的一个示例here,但很久以来一直在修复。
另请参阅此link有关插入原始HTML的信息。
请注意,使用Isomorphic / Server Side Rendering会产生潜在的漏洞,特别是在初始状态嵌入到要提供的页面中的情况下。请参阅此link。