以下操作是否百分之百安全?
var untrusted_input_from_3rd_party = '<script>alert("xss")<\/script>';
document.getElementsByTagName('body')[0].appendChild(document.createTextNode(untrusted_input_from_3rd_party));
考虑到第三方可能输入任何内容(如HTML、CSS等),如果我通过createTextNode
创建文本节点并将其添加到DOM中,我能确定它不会造成任何伤害吗?