¿Estoy a salvo de XSS en Reaccionar siempre y cuando no use peligrosamente Configurar InnerHTML?

2

Digamos que escribo una aplicación web utilizando React solamente, sin tocar el DOM directamente. Nunca uso dangerouslySetInnerHTML . ¿Todavía tengo que preocuparme por XSS? O en otras palabras, ¿existen otros usos inseguros de React?

Sería muy bueno si lo único que tuviera que recordar para mantenerme a salvo de XSS fuera no usar una propiedad con la palabra peligroso en su nombre. ¿Pero es así de simple?

No estoy considerando el riesgo de errores en el propio motor React aquí. Tampoco estoy interesado en cosas que no estén directamente relacionadas con React, como el error de hidratación de una tienda común .

    
pregunta Anders 27.08.2018 - 21:01
fuente

1 respuesta

1

No diría "Seguro". ReactJS es razonablemente seguro por su diseño, siempre y cuando lo use de la forma en que está diseñado para ser utilizado. Entre otras cosas, no use dangerouslySetInnerHTML .

Sin embargo, hay otras formas en que un atacante dedicado puede encontrar una manera de evitar los obstáculos XSS en su aplicación. Algunos de ellos se enumeran en este artículo de DailyJS aquí .

La postura más segura es tomar Confiar pero Verificar . De forma predeterminada, no debe confiar en ninguna entrada de usuario. Tanto como React se encargará de la mayor parte de la seguridad para su cliente, asegúrese de que también implementa verificaciones de seguridad del lado del servidor en TODAS las entradas / funciones del usuario.

    
respondido por el geforceGTX480 26.09.2018 - 21:35
fuente

Lea otras preguntas en las etiquetas