In unserem Team kamen wir auf die Idee, dass wir die Strings sanieren müssen, bevor sie dem DOM hinzugefügt werden. Wir erwarteten mindestens, dass doppelte Anführungszeichen problematisch wären, wenn sie in setAttribute und <und> verwendet würden, wenn sie zum Knoteninhalt hinzugefügt würden.Muss ich vor dem Hinzufügen zu DOM eine String-Hygiene durchführen?
Die ersten Tests zeigten etwas anderes. Wir verwenden innerHTML, um einen Knoten-Inhalt festzulegen. Dies entzieht sich allen unsicheren Zeichen. Aber selbst setAttribute entweicht <und>
So ist das immer der Fall, weil ich nichts bei Google finden konnte? Ich weiß nicht, ob da draußen Browser sind, die scheitern würden.
Ich warf einen zweiten Blick und wir verwenden nicht innerHTML. Da wir einzelne Knoten haben, können wir den nodeValue setzen. Und dann denke ich, Ihre Antwort icludes dies, dass jede DOM-Methode funktioniert weg, dass < and > sind genau richtig behandelt. –