Можно ли использовать JavaScript URLs в React 16.9, и какие есть потенциальные проблемы с безопасностью и совместимостью?

Использование JavaScript URLs в React 16.9

Да, JavaScript URLs технически возможны в React 16.9, но они крайне не рекомендуются и будут генерировать предупреждение в консоли.

Проблемы безопасности

React намеренно предупреждает против javascript: URLs, потому что они представляют серьёзную уязвимость безопасности. Когда неочищенные пользовательские данные попадают в атрибуты вроде href, это открывает векторы атак XSS (cross-site scripting).

Пример проблемного кода

Рекомендуемые альтернативы

Вместо javascript: URLs используй эти лучшие практики:

• Добавляй обработчики события click к элементам
• Используй onClick-коллбэки для взаимодействия с кнопками
• Реализуй нормальное управление состоянием для навигации

Пример безопасного кода

Будущее поведение

Имей в виду, что в будущих версиях React будет бросать ошибки для javascript: URLs вместо простых предупреждений, так что лучше отрефакторить существующий код уже сейчас.

Главный вывод

Хотя React 16.9 допускает javascript: URLs с предупреждениями, избегай их полностью. Современные паттерны React предоставляют более безопасные и чистые альтернативы, которые лучше соответствуют лучшим практикам фреймворка и стандартам безопасности.