Я пытаюсь понять, как защитить,
против атак XSS. Когда я посещаю официальные документы Angular,
https://angular.io/guide/security
, там написано:
Чтобы систематически блокировать ошибки XSS, Angular рассматривает все значения как
ненадежные по умолчанию. Когда значение вставляется в DOM из
шаблон, через свойство, атрибут, стиль, привязку класса или
интерполяция, Angular дезинфицирует и экранирует ненадежные значения.
а также:
Угловая очистка ненадежных значений для HTML, стилей и URL;
очистка URL-адресов ресурсов невозможна, поскольку они содержат произвольные
код. В режиме разработки Angular выводит предупреждение консоли, когда оно
должен изменить значение во время санации.
и
Angular распознает значение как небезопасное и автоматически очищает его,
который удаляет тег, но сохраняет безопасный контент, такой как
элемент.
Когда я иду в официальные документы React,
https://reactjs.org/docs/introducing-jsx.html#jsx-prevents-injection-attacks
, это говорит следующее:
Встраивать пользовательский ввод в JSX безопасно:
и
По умолчанию React DOM экранирует любые значения, встроенные в JSX, до
рендеринг их. Таким образом, это гарантирует, что вы никогда не сможете ничего сделать
это явно не написано в вашем приложении. Все
преобразуется в строку перед отображением. Это помогает предотвратить XSS
(межсайтовый скриптинг) атаки.
Но для Vue я не могу найти в их документах ничего о защите XSS или что-нибудь, что они могли бы предоставить по умолчанию.
Мой вопрос: Предоставляет ли Vue по умолчанию какой-либо способ защиты от XSS-атак или мне нужно искать стороннее решение?
Когда я Google для этой темы, я получаю много постов в блогах и статей, ссылающихся, например, на этот проект для очистки моего HTML:
https://github.com/punkave/sanitize-html