Estoy utilizando la Aceptar la estrategia de validación bien conocida para sanear las opiniones de los usuarios (HTML enriquecido) y utilizando un componente de terceros para hacer esto.
El componente por defecto requiere que cada nombre de clase permitido aparezca explícitamente en la lista, pero también tiene una casilla de verificación para suspender esta regla (es decir, se aceptarán todos los nombres de clase). El texto de ayuda para esta casilla de verificación dice:
La omisión de esta regla puede provocar vulnerabilidades de seguridad. Solo conceda este filtro a roles de confianza.
Entiendo que al marcar esa casilla, permitiría la entrada de usuarios como:
<div class="exploit">…</div>
Sin embargo, no puedo pensar en qué reemplazar "explotar" con eso puede ser una vulnerabilidad de seguridad.
¿Alguien puede explicarme por qué necesito agregar a la lista blanca nombres de clase ?