Manipolare il DOM in JavaScript è un’attività comune nello sviluppo frontend, ma non sempre le scorciatoie sono sicure. Il metodo innerHTML è potente e pratico, ma comporta rischi di sicurezza e di performance se utilizzato senza attenzione. In questo articolo vedremo come usarlo in modo consapevole, quali sono le alternative e le migliori pratiche per mantenere il codice sicuro ed efficiente.
Introduzione a innerHTML
La proprietà innerHTML consente di leggere o scrivere il contenuto HTML di un elemento DOM. Quando assegni una stringa a element.innerHTML, il browser la interpreta come markup HTML e la inserisce nel DOM.
const container = document.getElementById('content');
container.innerHTML = 'Benvenuto nel sito!';È semplice e intuitivo, motivo per cui è così diffuso tra sviluppatori alle prime armi. Tuttavia, proprio questa semplicità può diventare un’arma a doppio taglio se non si comprendono bene i rischi che comporta.
Per un approfondimento generale sul DOM e le sue API di manipolazione, puoi leggere Cos’è il DOM e come manipolarlo in JavaScript.
Rischi associati all’uso di innerHTML
Il problema principale di innerHTML sta nel fatto che interpreta la stringa inserita come codice HTML. Questo apre le porte a potenziali attacchi XSS (Cross-Site Scripting), in cui un attore malevolo introduce script arbitrari nella pagina.
// Esempio insicuro
const userInput = '';
document.getElementById('output').innerHTML = userInput; // Vulnerabile!In questo caso, lo script malevolo viene eseguito nel contesto della pagina, compromettendo dati e interazioni. Anche se il contenuto proviene da una fonte apparentemente fidata, è sempre buona norma validare e sanificare i dati prima dell’inserimento.
Oltre ai rischi per la sicurezza, innerHTML può avere un impatto sulle prestazioni: il browser distrugge e ricostruisce l’albero DOM del nodo ogni volta che la proprietà viene aggiornata, anche se la modifica è minima.
Alternative sicure a innerHTML
Quando si devono aggiungere testi o nodi dinamicamente al DOM, esistono alternative più sicure e performanti. Ecco alcune delle più comuni.
1. textContent
Se devi inserire solo testo e non markup HTML, textContent è la scelta ideale perché non interpreta la stringa come HTML:
const output = document.getElementById('safe-output');
output.textContent = 'Questo è testo, non HTML!';
// Risultato visivo: <strong>Questo è testo, non HTML!</strong>Non essendo eseguito alcun parsing HTML, il rischio di XSS è nullo. Per approfondire le differenze tra innerText e innerHTML, puoi consultare questa guida dedicata.
2. createElement + appendChild
Quando devi creare elementi HTML dinamicamente, le API del DOM offrono pieno controllo e sicurezza:
const list = document.getElementById('items');
const newItem = document.createElement('li');
newItem.textContent = 'Nuovo elemento sicuro';
list.appendChild(newItem);In questo modo, il browser crea un nodo HTML effettivo, senza interpretare stringhe. È una tecnica più verbosa ma molto più stabile e sicura, comune nello sviluppo di Web Components.
3. Template HTML e clonazione
L’utilizzo di <template> è una strategia elegante per gestire frammenti HTML preformattati e inserirli nel DOM in modo sicuro.
<template id="card-template">
<div class="card">
<h3 class="card__title"></h3>
<p class="card__desc"></p>
</div>
</template>const template = document.getElementById('card-template');
const clone = template.content.cloneNode(true);
clone.querySelector('.card__title').textContent = 'Titolo sicuro';
clone.querySelector('.card__desc').textContent = 'Descrizione generata dinamicamente';
document.body.appendChild(clone);Questo approccio è particolarmente utile per interfacce complesse e riutilizzabili, come mostrato in Creazione di componenti personalizzati in HTML con il Template di Javascript.
Pratiche migliori per la manipolazione del DOM
Oltre a scegliere tecniche sicure, esistono pratiche generali che mantengono il codice pulito e performante:
- Evita aggiornamenti DOM eccessivi: utilizza frammenti di documento o API come il ciclo di vita del DOM per ottimizzare i refresh.
- Sanifica sempre l’input dell’utente, anche dal lato frontend.
- Usa librerie o funzioni dedicate alla sanitizzazione, come DOMPurify.
- Preferisci
textContentoinsertAdjacentElementper piccole variazioni.
Esempi pratici di utilizzo
Vediamo tre situazioni reali in cui innerHTML può essere sostituito con alternative più sicure.
1. Aggiornamento dinamico di un contenuto con dati utente
// ✗ Uso rischioso
document.querySelector('#comment').innerHTML = userComment;
// ✓ Uso sicuro
document.querySelector('#comment').textContent = userComment;Questo pattern è cruciale per applicazioni con input interattivi, come sistemi di rating o form di feedback.
2. Rendering di liste da API
Se recuperi dati da un’API, puoi costruire il markup usando createElement in modo dinamico:
fetch('/api/products')
.then(res => res.json())
.then(products => {
const container = document.getElementById('product-list');
products.forEach(p => {
const item = document.createElement('div');
item.className = 'product';
item.innerHTML = '' + p.name + '' + p.desc + '';
});
}); // Da migliorare con insertAdjacentHTML o textContent!Qui l’uso di innerHTML rischia di introdurre stringhe non sicure. Meglio fare così:
products.forEach(p => {
const item = document.createElement('div');
item.className = 'product';
const name = document.createElement('h3');
name.textContent = p.name;
const desc = document.createElement('p');
desc.textContent = p.desc;
item.append(name, desc);
container.appendChild(item);
});Questo approccio si integra bene con la gestione di API nei progetti frontend e con framework reattivi come quelli descritti in Interfacce Dinamiche con React.
3. Inserimento controllato di markup HTML
Se davvero devi iniettare HTML dinamico (ad esempio in un CMS), devi sanificare prima la stringa:
import DOMPurify from 'dompurify';
const safe = DOMPurify.sanitize(userHtml);
document.getElementById('article').innerHTML = safe;Qui DOMPurify elimina attributi e tag pericolosi. È una scelta obbligata per applicazioni che consentono contenuti personalizzati.
Conclusioni e raccomandazioni
innerHTML resta uno strumento potente ma delicato. Nel moderno ecosistema frontend, l’obiettivo è trovare il giusto equilibrio tra flessibilità e sicurezza. Usa innerHTML solo quando strettamente necessario, e sempre su contenuti sanificati. Per tutti gli altri casi, prediligi le API native come textContent, createElement o template.
Investire in buone pratiche di sicurezza, anche nelle operazioni apparentemente banali, è ciò che distingue uno sviluppatore frontend consapevole da uno che si affida all’improvvisazione. Come ulteriore approfondimento su tecniche di aggiornamento del DOM performanti, leggi anche Snippet utili per la gestione dinamica del DOM e Progressive Enhancement in JavaScript.
In sintesi: meno innerHTML, più sicurezza e controllo del DOM — perché ogni linea di codice che evita un possibile XSS è un passo verso un web più affidabile.
