首页 > 文章 > 前端

为什么您应该避免在REACT中避免使用危险的lysetinnerhtml？

时间：2025-02-03 22:42:50 270浏览收藏

对于一个文章开发者来说，牢固扎实的基础是十分重要的，golang学习网就来带大家一点点的掌握基础知识点。今天本篇文章带大家了解《为什么您应该避免在REACT中避免使用危险的lysetinnerhtml？》，主要介绍了，希望对大家的知识积累有所帮助，快点收藏起来吧，否则需要时就找不到了！

React 中的 <dangerouslySetInnerHTML> 属性允许开发者直接设置元素的 innerHTML 属性，无需任何消毒处理。将不可信的用户输入直接插入此属性极其危险，可能导致严重的跨站脚本 (XSS) 安全漏洞。因此，应始终避免将不可信的用户输入传递给 dangerouslySetInnerHTML 属性。

最佳实践是完全避免使用该属性。如果必须使用用户输入，请务必先对其进行彻底的消毒处理。

示例：安全地渲染 HTML

以下示例展示了如何使用一个自定义组件 SanitizeContent 安全地渲染 HTML 内容：

import React, { useEffect, useRef } from "react";

const sanitizeHTML = (html) => {
    // 仅在浏览器环境中运行
    if (typeof window === 'undefined') return html;

    try {
        const parser = new DOMParser();
        const doc = parser.parseFromString(html, "text/html");

        // 定义允许使用的标签
        const allowedTags = ["p", "b", "i", "strong", "em"]; // 添加更多允许的标签

        const sanitizeNode = (node) => {
            if (node.nodeType === Node.ELEMENT_NODE) {
                const element = node;

                // 首先处理子节点
                Array.from(element.childNodes).forEach((child) => sanitizeNode(child));

                if (!allowedTags.includes(element.tagName.toLowerCase())) {
                    // 用子节点替换元素
                    while (element.firstChild) {
                        element.parentNode.insertBefore(element.firstChild, element);
                    }
                    element.remove();
                }
                //移除属性，防止XSS攻击
                element.removeAttribute("style");
                element.removeAttribute("onmouseover");
                element.removeAttribute("onclick");
                //添加更多需要移除的属性
            }
        };

        sanitizeNode(doc.body);
        return doc.body.innerHTML;
    } catch (error) {
        console.error('HTML 消毒错误:', error);
        return html; // 如果消毒失败，返回原始内容
    }
};

const SanitizeContent = ({ content }) => {
    const ref = useRef(null);

    useEffect(() => {
        if (ref.current) {
            const sanitized = sanitizeHTML(content);
            ref.current.innerHTML = sanitized;
        }
    }, [content]);

    return <div ref={ref} />;
};

const App = () => {
    const item = '<p><strong>This is a sample!</strong></p>';
    return (
        <SanitizeContent content={item} />
    );
};

export default App;

此示例中，sanitizeHTML 函数使用 DOMParser 解析 HTML，并仅允许预定义的标签。 注意： 这个消毒函数只是一个简单的例子，实际应用中可能需要更强大的消毒库来处理更复杂的 HTML 和潜在的 XSS 攻击向量。建议使用成熟的库如 DOMPurify 来进行更可靠的HTML消毒。此外，代码中添加了移除属性的操作，进一步增强安全性。在实际应用中，需要根据具体需求调整允许的标签和属性。

到这里，我们也就讲完了《为什么您应该避免在REACT中避免使用危险的lysetinnerhtml？》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！