在我们基于react.js的代码库中,我们使用一个接受原始html的外部库,由于代码如下,我们遇到了xss问题:
'<div title="' + dangerousTitle + ' ">' + dangerousText + '</div>';
我需要为团队制定政策,似乎可以使用:
ReactDOMServer.renderToStaticMarkup(
<div title={dangerousTitle}>
{dangerousText}
</div>
);
在客户端代码上。但是,在反应文档中,明确声明renderToStaticMarkup是供服务器端使用的。
假设我们知道自己在做什么,是否有人反对上述使用?
PS:我们认为_.escape,_.template与&lt;% - ,``带有转义函数的模板字符串,上面似乎是最合适的,因为团队已经习惯了比其他任何东西更多地反应模板。