坏的React dangerouslySetInnerHTML的例子？

Question

在ReactJS中有滥用dangerouslySetInnerHTML的例子吗？

每次我查这个的时候，都是有人挥手说“跨站点脚本”。

我见过dangerouslySetInnerHTML用CSS加载npm模块来加载css文件：

import {stylesheet, classNames} from '../static/css/styles.css'
<Head><style dangerouslySetInnerHTML={{__html: stylesheet}} /></Head>

我正在考虑将dangerouslySetInnerHTML用于社交媒体共享按钮的一些脚本标记，这些按钮一直在给我的团队带来麻烦。

代码示例和如何使用XSS破解页面的解释将不胜感激！

Answer 1

<span dangerouslySetInnerHTML={someTextSubmittedByAUser}></span>

想象一下，如果你的页面上有一个评论部分，有人提交了一条评论，内容是：

<script>while(1){}</script>

您只是将其作为内部HTML传递给某个节点。现在，任何人只要点击加载了该评论的页面，他们的标签页就会被锁定。

人们还可以做更多邪恶的事情。例如，复制cookie并将其发送到远程服务器。