¿Es 100% seguro de hacer lo siguiente ?:¿Es 100% seguro hacer lo siguiente?
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
Teniendo en cuenta que el tercero se ingresa nada (HTML, CSS, etc.), puedo estar seguro de que no va a hacer ningún daño si pásalo por createTextNode
y luego agrégalo al dom?
es * cualquier cosa * alguna vez "100% seguro"? – Spudley
¿Quizás 99.9% entonces? :) – Polar
Posible engaño: http://stackoverflow.com/questions/476821/is-a-dom-text-node-guaranteed-to-not-be-interpreted-as-html –