Javascript 使用危险的SetinenerHTML有什么风险？是什么阻止人们通过浏览器删除santization？

我正在使用

dangerlysetinerhtml

将来自胡子模板的html呈现到React中。我正在读这本书，它对我来说是新的

我的用例是，我有一些包含svg的html。这是静态的，不会从任何数据库中提取。我只想渲染这个

我读到你应该“净化”html。上面给出的示例提供了一些库，人们可以使用这些库对html进行清理，然后在

dangerouslysetinerHTML

属性中使用这个清理过的变体

然而，是什么阻止了人们简单地进入JS，通过devtools或其他工具编辑html，从而不进行清理呢

我没有太多的上下文，所以很抱歉，我不能用一个例子更具体

---

我尝试了许多html解析器来做出反应。我得出的结论是，我需要使用危险的HTML

当此HTML代码来自用户时，您应该“清理”HTML，就像您有输入一样，用户可以将HTML代码提交到您的服务器，然后在其他用户的浏览器上显示

“然而，是什么阻止了人们通过devtools或其他工具进入JS并编辑html，从而不进行清理呢？” 那似乎不对，对不起。原因是危险的HTML代码只能影响查看它的用户。如果他们在浏览器中编辑JS文件，那就毫无意义，因为他们是自己的受害者

---

阅读更多关于（HTML清理的用途）

Ok这更有意义。我有这些想法，我想，我需要像你这样的人对事情投下清晰的确认之光。