Javascript 只转义HTML而不使用像DOMPurify这样的库来防止XSS安全吗?
我目前正在使用在我的应用程序中使用Javascript 只转义HTML而不使用像DOMPurify这样的库来防止XSS安全吗?,javascript,html,security,escaping,xss,Javascript,Html,Security,Escaping,Xss,我目前正在使用在我的应用程序中使用危险的HTML将HTML插入之前,对其进行转义 然而,我注意到也有类似的库,它们声称是转义HTML的更安全的方法。除了它大约是一个解决方案的1000倍,所以我想知道它是否有必要 我注意到我的答案中的第一个解决方案似乎足够有效。我试图在消息框中输入alert('a'),它似乎被正确地转义了。出于我的目的,我只做了几个简单的标记转换(粗体、斜体等) 我所做的足够了吗,或者我需要一个更强大的解决方案,比如domprify?如果没有必要,我宁愿不添加依赖项。如果您要转义
危险的HTML
将HTML插入
之前,对其进行转义
然而,我注意到也有类似的库,它们声称是转义HTML的更安全的方法。除了它大约是一个解决方案的1000倍,所以我想知道它是否有必要
我注意到我的答案中的第一个解决方案似乎足够有效。我试图在消息框中输入alert('a')
,它似乎被正确地转义了。出于我的目的,我只做了几个简单的标记转换(粗体、斜体等)
我所做的足够了吗,或者我需要一个更强大的解决方案,比如domprify?如果没有必要,我宁愿不添加依赖项。如果您要转义HTML,并且使用React,那么为什么不正常地将其作为文本插入?只需先启用一些简单的标记转换。例如将*asdf*转换为asdf。它来自用户信息,所以我想我需要危险的信息。问题是你愿意冒险吗?我不认为添加一个依赖项就足以证明XSS攻击可能带来的安全风险。从得到的回复来看,似乎很多人已经在使用前一种解决方案。我想知道它是否不安全。如果您只想清理HTML标记,那就足够了,否则您应该选择
domprify