说说为什么React元素有$$typeof属性?

已于 2023-05-26 11:22:43 修改
阅读量166 收藏
点赞数
文章标签: react.js javascript 前端
于 2023-01-11 10:20:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71125105/article/details/128605655
版权

说说为什么React元素有$$typeof属性?

JSX的了解

可能以为在编写的是JSX:

<marquee bgcolor="#ffa7c4">hi</marquee>

但是实际上,你调用的是一个函数。

React.createElement(
  /* type */ 'marquee',
  /* props */ { bgcolor: '#ffa7c4' },
  /* children */ 'hi'
)

这个函数返回一个Object对象,叫这个对象为React元素。它告诉React接下来要渲染什么。

编写的组件将组成一个组件树。

{
      type: 'marquee',
      props: {
        bgcolor: '#ffa7c4',
        children: 'hi',
      },
      key: null,
     ref: null,
     typeof: Symbol.for('react.element'),
}

$$typeof 是什么?为什么用 Symbol() 作为它的值?

在客户端UI库变得普遍并添加一些基本保护之前,应用程序代码通常构造HTML并将其插入DOM:

const messageEl = document.getElementById('message');
messageEl.innerHTML = '<p>' + message.text + '</p>';

这就可以了,除非当message.text是像这样的时候。 你不希望陌生人编写的内容显示在应用程序呈现的HTML中。

(有趣的事实:如果你只做客户端渲染,这里的

为了防止此类攻击,你可以使用安全的API,例如document.createTextNode或textContent,它只处理文本。你还可以通过在用户提供的文本中替换<,>等其他潜在危险字符来抢先“转义”输入。

尽管如此,错误的成本很高,每次将用户编写的字符串插入输出时,记住它都很麻烦。这就是为什么像React这样的现代库在默认的情况下为字符串转义文本内容的原因:

<p>
  {message.text}
</p>

// An highlighted block
var foo = 'bar';

如果message.text是带有或其他的标签,则它不会变成真正的标签(tag)。React将转义内容,然后将其插入DOM。所以你应该看标记而不是看img标签。

要在React元素中呈现任意HTML,你必须写dangerouslySetInnerHTML = {{__ html:message.text}}。然而事实上,这么笨拙的写法是一个功能。 它意味着高度可见,便于在代码审查和代码库审计中捕获它。

这是否意味着React对于注入攻击是完全安全的?不是。 HTML和DOM提供了大量的攻击面,对于React或其他UI库来说,要缓解这些攻击面要么太难要么太慢。大多数剩余的攻击都偏向于属性上进行。 例如,如果渲染,请注意其user.website可能是“javascript:stealYourPassword()”。像<div {… userData}>那样扩展用户的输入很少见,但也很危险。

React可以随着时间的推移提供更多保护,但在许多情况下,这些都是服务器问题的结果,无论如何都应该在那里修复。

仍然,转义文本内容是合理的第一道防线,可以捕获大量潜在的攻击。知道像这样的代码是安全的,这不是很好吗?

// Escaped automatically
<p>
  {message.text}
</p>

好吧,这也不总是正确的。 这时候就需要派$$typeof上场了。

React的elements在设计的时候就决定是一个对象。

{
  type: 'marquee',
  props: {
    bgcolor: '#ffa7c4',
    children: 'hi',
  },
  key: null,
  ref: null,
  $$typeof: Symbol.for('react.element'),
}

虽然通常使用React.createElement创建它们,但它不是必要的。React有一些有效的用例来支持像我刚刚上面所做的那样编写的普通元素对象。当然,你可能不希望像这样编写它们 - 但这对于优化编译器,在工作程序之间传递UI元素或者将JSX与React包解耦是有用的。

但是,如果你的服务器有一个漏洞,允许用户存储任意JSON对象, 而客户端代码需要一个字符串,这可能会成为一个问题:

// Server could have a hole that lets user store JSON
let expectedTextButGotJSON = {
  type: 'div',
  props: {
    dangerouslySetInnerHTML: {
      __html: '/* put your exploit here */'
    },
  },
  // ...
};
let message = { text: expectedTextButGotJSON };

// Dangerous in React 0.13
<p>
  {message.text}
</p>

在这种情况下,React 0.13很容易受到XSS攻击。再次澄清一下,这种攻击取决于现有的服务器漏洞。 尽管如此,React可以做到更好,防止遭受它攻击。从React 0.14开始,它做到了。

React 0.14中的修复是使用Symbol标记每个React元素:

 type: 'marquee',
  props: {
    bgcolor: '#ffa7c4',
    children: 'hi',
  },
  key: null,
  ref: null,
  $$typeof: Symbol.for('react.element'),
}

这是有效的,因为你不能只把Symbol放在JSON中。因此,即使服务器具有安全漏洞并返回JSON而不是文本,该JSON也不能包含Symbol.for(‘react.element’)。React将检查element.$$ typeof,如果元素丢失或无效,将拒绝处理该元素。

并且使用Symbol.for的好处是符号在iframe和worker等环境之间是全局的。因此,即使在更奇特的条件下,此修复也不会阻止在应用程序的不同部分之间传递可信元素。同样,即使页面上有多个React副本,它们仍然可以继续工作。

路人贾!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
React 中 $$typeof 的作用
weixin_33795806的博客
05-28 2275
图片来源于互联网 当在控制台打印一个 React 组件的时候,能看出组件就是一个对象,也可以是虚拟 dom,这个对象上面包含了所需要渲染的 dom 节点的标签名称、属性、子节点等信息。同时也有一个 $$typeof属性。 $$typeof 是如何添加在 React 对象上的 jsx 语法在被 babel 解析的时候调用 React.createElement 方法,那么我们看一下 cr...
进击ReactNative-徐如林-React源码解析
11-15 1291
目录定目标传道(攻坚方法论)授业(懂算法)解惑(考考你)组件生命周期数据结构Virtual DOMDiff算法原理追过程学习运行(Playground)源码迷航微光大海航术用户态(浅水区)组件API生命周期内核态(深水区)初始渲染时间线用户点击渲染时间线小结简约伪代码方法调用图拿结果QA高性能实践问题定位利器方法钩子长歌结语参考 有的人可能会不理解,大前端平台化的战火为谁而燃,吾辈何以为战?专注于移动互联网大前端致富,一直是我们最崇高的理想,而ReactNative是横亘在中间的桥头堡。纵观行业风向,有作
React 最重要也最容易被遗忘的属性 $$typeof
高先生的猫
09-11 1967
为什么$$typeof是最重要的属性?因为它是代码安全的一道重要防线。 如果你用过react,对type、props、key、 和ref应该熟悉。但你不一定知道$$typeof? 首先简单介绍下jsX 当你在写jsX 时,其实你在调用createElement方法。 react.createElement( /* type */ 'marquee', /* props */ { bgcolor: '#ffa7c4' }, /* children */ 'h...
react alert显示此网页在_React 中无用但可以装逼的知识
weixin_39631094的博客
12-19 206
最近看了Dan Abramov的一些博客,学到了一些React的一些有趣的知识。决定结合自己的理解总结下。这些内容可能对你实际开发并没有什么帮助,不过这可以让你了解到更多React底层实现的内容以及为什么要怎样实现。可以让你跟别人有更多的谈资,当然,也可以在某些场合装一下逼。那么接下来直接进入正文。React如何区分类组件和函数组件我们可以考虑从几种实现方式来看这个问题:统一使用new方法来生成实...
为什么React元素有一个$$typeof属性?
m0_69892739的博客
02-20 295
之后方法会返回一个对象给你,我们称此对象为React元素(element),它告诉 React 下一个要渲染什么。你的组件(component)返回一个它们组成的树(tree)。
is-react:确定变量或语句是否为React元素或组件
05-02
确定变量或表达式是React元素还是组件的库。 为了更全面地理解, 描述了React中的元素和组件,并且提供了对JSX语法的理解。 由...赞助: 安装 yarn add is-react或npm i --save is-react以使用该包装。 例子 真实...
React钩子以获取元素的位置
06-08
@rehooks/usePosition React hook for ... 注意:这是使用新的 React Hooks API 提案,该提案在 React 16.7 最终版之前可能会发生变化。您需要在 ^16.7.0-alpha.0 安装 reactreact-dom 等安装 yarn add @rehooks/...
浅谈React中的元素、组件、实例和节点
08-27
主要介绍了浅谈React中的元素、组件、实例和节点,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解React 元素渲染
10-15
主要介绍了React 元素渲染的相关资料,文中示例代码非常详细,帮助大家更好的理解和学习,感兴趣的朋友可以了解下
React Native之prop-types进行属性确认详解
01-21
属性确认的作用 使用 React Native 创建的组件是可以复用的,所以...React Native已经升级到0.51.0了,版本升级很快,但是对老项目也会有一些问题,常见的就是属性找不到的问题。例如:   主要原因是随着React Nativ
为什么React元素有$$typeof属性?
weixin_66557048的博客
12-09 280
因此,即使在更奇特的条件下,此修复也不会阻止在应用程序的不同部分之间传递可信元素。当然,你可能不希望像这样编写它们 - 但这对于优化编译器,在工作程序之间传递UI元素或者将JSX与React包解耦是有用的。尽管如此,错误的成本很高,每次将用户编写的字符串插入输出时,记住它都很麻烦。React可以随着时间的推移提供更多保护,但在许多情况下,这些都是服务器问题的结果,无论如何都应该在那里修复。仍然,转义文本内容是合理的第一道防线,可以捕获大量潜在的攻击。知道像这样的代码是安全的,这不是很好吗?
ZF_react ref的实现 生命周期的实现
lin_fightin的博客
10-20 310
ref的实现 类组件可以通过ref来获取原生dom,获取类组件,并且可以通过forwardRef转发函数组件来传递ref。 原生dom ref的实现 实现收集第一二个输入框的值相加并且展现在第三个输入框上。 首先先实现简单的React.createRef函数 该函数很简单,返回一个拥有current属性的对象,重点是赋值,因为拿到的是原生dom,所以肯定是在创建的时候赋值。 在创建vdom的时候先对ref做处理,因为是特殊属性。接着,原生dom只需要在创建的时候赋值即可。在createDom函数里面
为什么 React Elements 会有 $$typeof 这个属性
weixin_34401479的博客
01-02 213
简评:debug 的时候看到 element 对象中有 $$typeof属性,于是查了一下这到底干嘛的。 我们知道,通过 JSX 创建一个 React Elements 时: <marquee bgcolor="#ffa7c4">hi</marquee> 实际上调用的是 React.createElement...
ReactElement
qq_42843126的博客
10-09 1882
React系列(2) ReactElement React.createElement做了什么 先判断config中内置props(key,ref,self,source)存在且有效,则赋值给新声明的变量 再将config中非内置的props 给新声明的props(key和ref不会跟其他config中的变量一起被处理,而是单独作为变量出现在ReactElement上。) 判断如果孩子节点为一个...
为什么React元素有一个$$typeof属性
weixin_34418883的博客
02-12 381
你觉得你在写JSX: &lt;marquee bgcolor="#ffa7c4"&gt;hi&lt;/marquee&gt; 复制代码其实,你在调用一个方法: React.createElement( /* type */ 'marquee', /* props */ { bgcolor: '#ffa7c4' }, /* children */ 'hi' ) 复制代码之后方法会返回一个...
React源码解析(五):forward-ref
weixin_33721427的博客
04-16 581
作用:因为react中Function Component是没有实例的,没有办法进行传递ref。所以,就产生了React.forwardRef这个API来解决这个问题。export default function forwardRef<Props, ElementType: React$ElementType>( render: (props: Props, ref: R...
React 深度学习:forwardRef
weixin_38170468的博客
06-24 529
path: 源码 import {REACT_FORWARD_REF_TYPE, REACT_MEMO_TYPE} from 'shared/ReactSymbols'; import warningWithoutStack from 'shared/warningWithoutStack'; export default function forwardRef<Props, Ele...
React源码阅读—React.forwardRef
Meskjei的博客
08-20 2442
文章目录React.forwardRef源码 React.forwardRef 在有些时候我们想要操作子组件中的DOM节点,到获取DOM节点,可能我们会第一时间想到ref。可是,如果我们是直接在子组件上写ref,获得的只是子组件,而不是子组件下的某个DOM节点。 这个时候就可以通过React.forwardRef来实现。 例如: 子组件: const Child = React.forwardR...
react的createRef和forwardRef
大灰狼的小绵羊哥哥的博客
07-13 6823
最近在使用react过程中发现在使用ref时的一些场景,自己初步感觉react的ref没有vue那么强大。 现在我就简单看下怎么使用ref? createRef 我们直接看源码 // node_modules/react/umd/react.development.js // an immutable object with a single mutable value function createRef() { var refObject = { current: n
react如何使用$set
最新发布
07-15
React中,$set是Vue.js中的一个方法,用于在响应式对象中设置属性。而在React中,我们通常使用`setState`来更新组件的状态。 要使用`setState`来设置属性,可以按照以下步骤进行操作: 1. 在组件的构造函数中初始化状态(state)对象。例如: ```javascript constructor(props) { super(props); this.state = { name: 'John', age: 25 }; } ``` 2. 使用`setState`方法来更新状态对象中的属性。例如: ```javascript this.setState({ name: 'Jane' }); ``` 这将会更新状态对象中的name属性为'Jane'。 请注意,`setState`方法是异步的,并且可能会进行批量更新。如果你想在更新状态后执行一些操作,可以使用回调函数作为`setState`方法的第二个参数。例如: ```javascript this.setState({ name: 'Jane' }, () => { // 在状态更新后执行的操作 console.log('Name updated!'); }); ``` 这样,当状态更新完成后,会打印出'Name updated!'。 总结起来,React中使用`setState`来设置属性,而不是使用Vue.js中的$set。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值