# 安全问题
## 控制元素类型
`createElement`函数在`type`参数中接受一个字符串。如果字符串由用户控制,就可以创建任意React组件:
```javascript
// 从存储在后端的字符串动态创建元素
// stored_value是用户控制的字符串
element_name = stored_value;
React.createElement(element_name, null);
```
然而,这只会生成一个普通的、无属性的HTML元素(相当无用)。
## 注入props
`createElement`函数在`props`参数中接受一个属性列表。如果列表由用户控制,就可以向新元素注入任意props:
```javascript
// 解析用户提供的JSON并将结果对象作为props传递
// stored_value是带有属性的用户控制JSON字符串
props = JSON.parse(stored_value);
React.createElement("span", props);
```
您可以使用以下payload来设置`dangerouslySetInnerHTML`属性:
```javascript
{"dangerouslySetInnerHTML" : { "__html": "
" }}
```
## 显式设置dangerouslySetInnerHTML
如果用户提供的数据用于设置`dangerouslySetInnerHTML`属性,您可以插入任意JavaScript代码:
```javascript
```
## 显式设置href
如果用户提供的数据用于设置`href`属性,您可以插入`javascript:` URL:
```javascript
Link
```
其他一些属性如HTML5按钮中的`formaction`或HTML5 imports也可能存在漏洞:
```javascript
// HTML5按钮