Может ли настройка внутреннего текста, а затем копировать innerhtml избежать атак XSS? ⇐ Javascript

[Anonymous]

Я использую библиотеку, которая создает определенные элементы HTML, но позволяет мне только установить их innerhtml (не внутренний текст), поэтому я хочу смягчить атаки XSS. Атаки?

Код: Выделить всё

function libraryCodeToCreateElement(text) {
const newElement = document.createElement('p');
newElement.innerHTML = text;
document.body.appendChild(newElement);
}

const untrustedText = 'some malicious string';
const sanitizingElement = document.createElement('span');
sanitizingElement.innerText = untrustedText;
libraryCodeToCreateElement(sanitizingElement.innerHTML);

Это, кажется, защищает от атак, которые я могу придумать, но я могу что -то упустить.

Подробнее здесь: https://stackoverflow.com/questions/796 ... ss-attacks