Какой рекомендуемый подход в React для вставки сырого HTML контента в DOM, и как это можно реализовать безопасно?

Понимаем innerHTML в React

В React обычное свойство innerHTML заменено на атрибут dangerouslySetInnerHTML. Такое название специально выбрано, чтобы предупредить тебя о потенциальных рисках безопасности.

Как использовать dangerouslySetInnerHTML

Чтобы применить этот атрибут, ты должен передать объект с ключом html, который содержит твой HTML-контент в виде строки:

Или можешь вставить объект прямо в разметку:

Вопросы безопасности

Важно: используй dangerouslySetInnerHTML только когда это действительно необходимо. Этот подход несёт серьёзные риски для безопасности, особенно XSS-атаки (межсайтовый скриптинг). Никогда не применяй этот метод с:

• контентом, созданным пользователями
• данными из ненадёжных источников
• непроверенными внешними API

Всегда санируй HTML-контент перед рендерингом, если тебе всё же нужен этот атрибут.

Лучшие практики

• Отдай предпочтение альтернативным решениям, например хранению контента в виде React-компонентов
• Используй библиотеку для санации (например DOMPurify), если работаешь с внешним HTML
• Используй этот атрибут только для контролируемой, внутренней HTML-разметки
• Подумай, может быть, обычный текст или рендеринг на основе компонентов был бы безопаснее

Многословное название dangerouslySetInnerHTML выбрано специально — оно подталкивает разработчика тщательно оценить, действительно ли этот подход необходим в его конкретном случае.