Javascript 不良反应危险的例子是Html？_Javascript_Reactjs_Xss

Javascript 不良反应危险的例子是Html？

javascript reactjs

Javascript 不良反应危险的例子是Html？,javascript,reactjs,xss,Javascript,Reactjs,Xss,在ReactJS中是否有滥用危险的LysetinerHTML的例子每次我查这个，都是有人挥手说“跨站点脚本” 我见过使用CSS加载npm模块加载CSS文件的危险的LySetinerHTML： import {stylesheet, classNames} from '../static/css/styles.css' <Head><style dangerouslySetInnerHTML={{__html: stylesheet}} /></Head>

在ReactJS中是否有滥用危险的LysetinerHTML的例子

每次我查这个，都是有人挥手说“跨站点脚本”

我见过使用CSS加载npm模块加载CSS文件的危险的LySetinerHTML：

import {stylesheet, classNames} from '../static/css/styles.css'
<Head><style dangerouslySetInnerHTML={{__html: stylesheet}} /></Head>

从“../static/css/styles.css”导入{stylesheet，classNames}

我正在考虑对社交媒体共享按钮的一些脚本标记使用危险的LysetinerHTML，这给我的团队带来了麻烦

非常感谢您提供有关如何使用XSS攻击页面的代码示例和解释


<span dangerouslySetInnerHTML={someTextSubmittedByAUser}></span>

想象一下，如果您的页面上有一个评论部分，有人提交了一条评论，其中包含：

<script>while(1){}</script>

while（1）{

您只是将其作为内部HTML传递给某个节点。现在，任何点击加载该评论的页面的人都将锁定其选项卡

人们可以做的邪恶事情多得多。例如，复制cookie并将其发送到远程服务器。

很简单，您所需要的只是

与任何其他呈现到DOM中的方式相同；这不是唯一的反应。正如戴夫所说，这是一个通用的安全威胁，而不是特定的反应。OWASP有一个极好的备忘单，说明了您应该避免做的事情以及如何减轻影响：