← Back to rules

react/jsx-no-script-url 의심스러움

An auto-fix is available for this rule.

작동 방식

javascript: URL 사용을 금지합니다.

왜 문제가 되는가?

javascript:로 시작하는 URL은 위험한 공격 표면이기 때문에, <a href>와 같은 태그에 검증되지 않은 출력을 의도치 않게 포함할 수 있고 보안 구멍을 만들 수 있습니다.

리액트 16.9부터 시작해 javascript:로 시작하는 모든 URL은 경고를 출력합니다.

리액트 19에서는 javascript: URL이 완전히 금지됩니다.

예시

이 규칙에 잘못된 코드 예시:

<a href="javascript:void(0)">테스트</a>

이 규칙에 올바른 코드 예시:

<Foo test="javascript:void(0)" />

구성

이 규칙은 다음 속성을 가진 구성 객체를 받습니다:

components

type: Record<string, array>

기본값: {}

추가로 확인할 컴포넌트입니다.

includeFromSettings

type: boolean

기본값: false

설정에서 컴포넌트를 포함할지 여부입니다.

사용 방법

구성 파일 또는 명령줄에서 이 규칙을 활성화하려면 다음과 같이 사용할 수 있습니다:

구성 파일 (.oxlintrc.json)

{
  "plugins": ["react"],
  "rules": {
    "react/jsx-no-script-url": "error"
  }
}

CLI

oxlint --deny react/jsx-no-script-url --react-plugin

참고 자료

• 규칙 소스