Sto utilizzando la accetta la nota strategia di convalida per sanare l'input dell'utente (rich HTML) e sono utilizzando un componente di terze parti per farlo.
Per impostazione predefinita, il componente richiede che ogni nome di classe consentito sia elencato esplicitamente, ma che disponga anche di una casella di controllo per sospendere questa regola (ad esempio, ogni nome di classe sarà accettato). Il testo della guida per questa casella di controllo dice:
Bypassing this rule may lead to security vulnerabilities. Only grant this filter to trusted roles.
Capisco controllando quella casella, vorrei consentire l'input dell'utente come:
<div class="exploit">…</div>
Tuttavia, non riesco a pensare a cosa sostituire "exploit" con quella che potrebbe essere una vulnerabilità di sicurezza.
Qualcuno può spiegarmi perché devo annotare i nomi di classe .