🚀
データバインディング機能でエスケープさせない方法
Webフロントエンドのフレームワークでデータバインディング機能利用時、デフォルトでは出力値がエスケープ処理(サニタイズ)される。
エスケープしないようにさせる方法のメモ(特別な理由がない限り利用非推奨)
React
-
dangerouslySetInnerHTML
属性の利用
Vue.js
-
v-html
ディレクティブの利用 -
render
関数におけるdomProps
やdomPropsInnerHTML
の利用
Angular
- 1.x系:
ng-bind-html
ディレクティブの利用 - 2.0以降:
DomSanitizer.bypassSecurityTrustHtml
関数の利用
参考・引用
詳解セキュリティコンテスト ~CTFで学ぶ脆弱性攻略の技術~
Discussion