Можешь объяснить ключевые различия между свойствами `innerHTML`, `textContent` и `innerText` в JavaScript и какие проблемы безопасности нужно учитывать при использовании каждого из них?

Обзор

Эти три свойства позволяют тебе читать или изменять содержимое DOM-элементов, но они работают принципиально по-разному.

innerHTML

• Получает или устанавливает сырую HTML-разметку, включая все HTML-теги
• Браузер парсит и отрендеривает любую HTML-строку, которую ты присваиваешь этому свойству
• Пример: установка element.innerHTML = '<b>Hello</b>' отрендеривает жирный текст

⚠️ Риск безопасности: Никогда не используй innerHTML с непроверенным пользовательским вводом. Это может выполнить вредоносные скрипты, создавая уязвимости Cross-Site Scripting (XSS).

textContent

• Получает или устанавливает только простой текст — все HTML-теги игнорируются и экранируются
• Включает текст из скрытых элементов (например, display: none)
• Самый безопасный вариант при вставке пользовательского контента

innerText

• Получает или устанавливает отрендеренный текст так, как он визуально выглядит на экране
• Учитывает CSS-стили — скрытые элементы (например, display: none) исключаются
• Вызывает reflow для расчёта стилей, поэтому работает медленнее, чем textContent

Ключевые различия с одного взгляда

• HTML-парсинг: только innerHTML парсит HTML-теги
• Скрытые элементы: textContent их включает, innerText нет
• Производительность: textContent быстрее, чем innerText
• Безопасность: textContent самый безопасный; innerHTML самый опасный

Рекомендации по безопасности

Всегда отдавай предпочтение textContent при работе с контентом, генерируемым пользователем. Если ты должен использовать innerHTML, сначала экранируй весь ввод с помощью надёжной библиотеки, например DOMPurify.