Ich freue mich auf an article und auf das Schreiben von Assistenten in React, und jeder Schritt wird mit einer URL verknüpft. Der Autor verwendet den "hash" -Teil der URL, um den Schritt anzugeben, und weist ihn this.state.currentStep
zu. Sie kommentieren, dass dies unsicher ist.Ist es unsicher, einen URL-Hash-Parameterwert direkt einer JavaScript-Variablen zuzuweisen?
class BasicWizard extends React.Component {
constructor() {
this.state = {
steps: []
currentStep: location.hash //obvs this is an unsafe way to do this -- this example is for conceptual purposes only
};
}
Meine Frage:
warum ist dies unsicher? Meine Vermutung ist, dass es eine XSS-Gefahr ist, aber würde diese Eingabe nicht durch React in eine Zeichenfolge umgewandelt werden? So wie ich das sehe, wäre das nur unsicher, wenn ich irgendwo irgendwo einen Namen hätte.
Wenn es unsicher ist: Wie man sicher macht?