私たちのチームでは、DOMに追加する前に文字列を消毒する必要があるという考えを思いつきました。 setAttributeで使用する場合は二重引用符が問題になり、ノードのコンテンツに追加された場合は<と>になります。DOMに追加する前に文字列の衛生管理を行う必要がありますか?
最初のテストでは、何か異なることが示されました。 innerHTMLを使用してノードのコンテンツを設定しています。これは、すべての安全でない文字をそれ自身でエスケープします。しかしsetAttributeでもエスケープします<と>
私はグーグルで何も見つかりませんでしたので、これはいつものケースですか?私はそこに失敗するブラウザがあるかどうかわかりません。
私はもう一度見て、私たちはinnerHTMLを使用していません。 nodeValueを設定できる単一のノードがあるので。そして、私はあなたの答えは、すべてのDOMメソッドは、< and >はちょうど正しく処理されて離れて動作することをicludesだと思う。 –