窓の杜

XSS攻撃の温床「innerHTML」はもう終わり、「Firefox 148」に「setHTML ...

しかし、HTML要素の読み取り・書き込みを行う「innerHTML」プロパティには無毒化処理を実施する機能がなく、プログラマーが自分で処理を書く必要があった。 そのため、無毒化処理にどうしても漏れが生じ、XSS脆弱性の温床となってしまっているのが現実だ。
GitHub

oliverjam/learn-dom-rendering

We'll be using three different methods to render the same dynamic UI to compare them. The UI will include a static single element (the title), plus a list of dynamic elements rendered from an array.