На 100% безопасно ли делать следующее?:
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
Учитывая, что третье лицо может вводить что угодно (HTML , CSS и т. Д.), Могу ли я быть уверен, что это не повредит, если я передам его через createTextNode
, а затем добавлю в дом?