Javascript 只转义HTML而不使用像DOMPurify这样的库来防止XSS安全吗？

我目前正在使用在我的应用程序中使用

危险的HTML

将HTML插入

之前，对其进行转义

然而，我注意到也有类似的库，它们声称是转义HTML的更安全的方法。除了它大约是一个解决方案的1000倍，所以我想知道它是否有必要

我注意到我的答案中的第一个解决方案似乎足够有效。我试图在消息框中输入

alert（'a'）

，它似乎被正确地转义了。出于我的目的，我只做了几个简单的标记转换（粗体、斜体等）

---

我所做的足够了吗，或者我需要一个更强大的解决方案，比如domprify？如果没有必要，我宁愿不添加依赖项。

如果您要转义HTML，并且使用React，那么为什么不正常地将其作为文本插入？只需先启用一些简单的标记转换。例如将*asdf*转换为asdf。它来自用户信息，所以我想我需要危险的信息。问题是你愿意冒险吗？我不认为添加一个依赖项就足以证明XSS攻击可能带来的安全风险。从得到的回复来看，似乎很多人已经在使用前一种解决方案。我想知道它是否不安全。如果您只想清理HTML标记，那就足够了，否则您应该选择

domprify