DOMに追加する前に文字列の衛生管理を行う必要がありますか？

Question

私たちのチームでは、DOMに追加する前に文字列を消毒する必要があるという考えを思いつきました。 setAttributeで使用する場合は二重引用符が問題になり、ノードのコンテンツに追加された場合は<と>になります。

最初のテストでは、何か異なることが示されました。 innerHTMLを使用してノードのコンテンツを設定しています。これは、すべての安全でない文字をそれ自身でエスケープします。しかしsetAttributeでもエスケープします<と>

私はグーグルで何も見つかりませんでしたので、これはいつものケースですか？私はそこに失敗するブラウザがあるかどうかわかりません。

Answer 1

innerHTMLは要素内のHTMLを編集しており、DOMノードを生成しています。通常の規則に従ってHTMLを記述する必要があります（たとえば、名前のない文字が続く場合を除き、<文字は使用できません）。ブラウザは通常のエラー回復を実行します。

あなたのinnerHTMLの経験がなぜ違うのか分かりません。

createTextNode、setAttributeなどDOMを直接編集します。 HTMLは関係していないので、HTMLで特別な意味を持つ文字を扱う必要はありません。