Javascript 客户端上的ReactDOMServer.renderToStaticMarkup阻止xss_Javascript_Reactjs_Xss

Javascript 客户端上的ReactDOMServer.renderToStaticMarkup阻止xss

javascript reactjs

Javascript 客户端上的ReactDOMServer.renderToStaticMarkup阻止xss,javascript,reactjs,xss,Javascript,Reactjs,Xss,在我们基于react.js的代码库中，我们使用了一个外部库，该库接受原始html，由于以下代码，我们遇到了xss问题： '<div title="' + dangerousTitle + ' ">' + dangerousText + '</div>'; “”+危险文本+“”；我需要为团队制定一项政策，似乎可以使用： ReactDOMServer.renderToStaticMarkup( <div title={dangerousTitle}>

在我们基于react.js的代码库中，我们使用了一个外部库，该库接受原始html，由于以下代码，我们遇到了xss问题：

'<div title="' + dangerousTitle + ' ">' + dangerousText + '</div>';

“”+危险文本+“”；

我需要为团队制定一项政策，似乎可以使用：

ReactDOMServer.renderToStaticMarkup(
     <div title={dangerousTitle}>
         {dangerousText}
     </div>
);

ReactDOMServer.renderToStaticMarkup(
{危险文本}
);

在客户端代码上。但是，在react文档中，明确声明renderToStaticMarkup供服务器端使用

假设我们知道自己在做什么，有人反对上述使用吗

PS：我们考虑了u.escape，uu.template，我建议检查客户端包含

ReactDOMServer

会增加多少代码库的大小。否则我认为应该可以，这是一个非常小的增加。但是，它可能会在将来被重构成一些非常大的东西，例如文件io，因此将来可能无法使用它。我想听听一些内幕知识，如果有的话，以证明未来的证据。我们正在考虑在我们的代码库中做同样的事情。我们很久以前就知道，世界上没有未来的证据。