Diciamo che scrivo una webapp usando solo React, senza mai toccare direttamente il DOM. Non uso mai dangerouslySetInnerHTML
. Devo ancora preoccuparmi di XSS? O in altre parole, ci sono altri usi non sicuri di React?
Sarebbe molto bello se l'unica cosa che dovevo ricordare per tenermi al sicuro da XSS fosse non usare una proprietà con la parola pericolosa nel suo nome. Ma è così semplice?
Non sto contando il rischio di bug nel motore React stesso qui. Né sono interessato a cose non direttamente correlate a React, come l'errore di idratazione del negozio comune .