html-react-parser XSS issue

[HugoSave]

Då somliga användare kommer kunna redigera vissa sidor genom att indirekt skriva html i vår editor så finns det en eventuell risk att någon kan lyckas få in skadlig/irriterande kod. I dagsläget används paketet html-react-parser för att omvandla en sträng med html-kod till react komponenter som vi kan rendera. html-react-parser garanterar däremot inte att man inte kan injecera godtycklig javascriptkod som då skulle köras på alla webläsare som går in på sidan. https://github.com/remarkablemark/html-react-parser/issues/94

I tråden ovan föreslår dem bland annat att man först kan sanitera användarkoden med https://github.com/cure53/DOMPurify vilket tydligen inte är ett alltför stort paket men det ger såklart lite overhead.

Här är ett exempel i vår kodbas där vi använder html-react-parser (via en funktion som heter parse):
https://github.com/Fysiksektionen/Hemsida/blob/main/client/src/components/content_object_renderers/blocks/RichTextCOR.tsx

Jag vet egentligen inte om det är ett problem eller inte men tänkte skapa denna tråd här så kan man lämna åsikter i kommentarerna. Värsta scenario är väl att användarens kakor och liknande data kan skickas vidare till tredjepart. Vilket kanske kan ge andra tillgång till deras konto på fysiksektionen? Men jag har inte riktigt koll på vad man kan och inte kan göra med XSS attacker och till vilken grad html-react-parser är sårbar.

[Ejemyr]

Jättebra catch!
Hade inte tänkt på det, men absolut något vi måste tänka på 👍