В чем риск dangerouslySetInnerHTML?

ReactMiddleTesting, accessibility and securityБезопасностьxssdangerouslysetinnerhtml

Что хотят услышать интервьюеры:

Коротко: dangerouslySetInnerHTML вставляет HTML как есть и может открыть XSS, если контент не очищен trusted sanitizer.

Ответ:

Что важно сказать на собеседовании: На собеседовании важно связать эту тему с реальной render-моделью React: где источник данных, что вызывает обновление, какие побочные эффекты допустимы и как это влияет на поддержку интерфейса.

Пример (React/TSX): 

function SafeText({ value }) {
  return <p>{value}</p>;
}

function HtmlContent({ html }) {
  return <div dangerouslySetInnerHTML={{ __html: sanitize(html) }} />;
}

Типичные ошибки: Типичная ошибка — отвечать только синтаксисом и не объяснять, как решение поведёт себя при повторном render, смене props, unmount или росте данных.

Практический контекст: В практике это встречается в формах, списках, dashboards, личных кабинетах и компонентах design-system; сильный ответ показывает не только API, но и границы применения.

Источники

Похожие вопросы

Testing, accessibility and security Почему лучше искать элементы по role? Testing, accessibility and security Почему div onClick не заменяет button? Testing, accessibility and security Как мокать API в тестах React? Testing, accessibility and security Как обеспечить keyboard accessibility в React?