Перейти на PRO

Какие знаешь опасности при работе с innerHTML

«Какие знаешь опасности при работе с innerHTML» — вопрос из категории Безопасность, который задают на 10% собеседований Frontend Разработчик. Ниже — развёрнутый ответ с разбором ключевых моментов.

Тип вопроса: Безопасность Вероятность: 10% Категория: Frontend Разработчик

Ответ

Использование innerHTML может привести к XSS-атакам, если вставляется недоверенный контент. Злоумышленник может внедрить вредоносный скрипт:

<div id="target"></div>
<script>
  document.getElementById('target').innerHTML = '<img src=x onerror="alert('XSS')">';
</script>

Другие проблемы:

  • Перезаписывает все дочерние элементы и события, что может вызвать утечки памяти
  • Медленнее, чем работа с DOM API (createElement, appendChild)
  • Ломает интерактивные элементы (<video>, <canvas>)

Безопасные альтернативы:

  • textContent для текста
  • document.createElement + append для элементов
  • DOMPurify.sanitize() если нужно обрабатывать HTML из ненадёжных источников
Что такое Event Loop 66% задают Асинхронность Что такое замыкание 49% задают JavaScript Что такое Promise 48% задают Асинхронность Что такое Virtual DOM 43% задают React Что такое CORS 39% задают Безопасность В чем разница между var, let и const 39% задают JavaScript
© ХакСобесов, 2026
support@hacksobesov.com