ユーザー入力 (プレーン テキスト文字列または HTML 文字列) に基づいて、innerHTML を使用して HTML フラグメントを Web ページに挿入するマイクロ テンプレート ユーティリティを作成しました。
私の主な懸念は、悪意のあるスクリプト インジェクションのリスクです。スクリプトは、script タグを介して、またはインライン イベント (img onload、div onmouseover など) で挿入できます。
このようなインジェクションを防ぐために HTML 文字列をサニタイズする方法はありますか? また、知っておくべき他のスクリプト挿入方法はありますか?