在React ES6中，通过从属性转换的字符串创建React元素来更改HTML元素的标记是不安全的。这种做法被称为"注入攻击"，因为它可以导致跨站脚本攻击（XSS）的安全漏洞。

为了避免这种安全风险，React提供了一种更安全的方式来更改HTML元素的标记，即使用JSX语法。JSX是一种类似HTML的语法扩展，它允许开发者在JavaScript代码中编写类似HTML的标记。

使用JSX，开发者可以直接在React组件中编写HTML标记，而不需要通过字符串转换的方式来创建React元素。这样可以确保输入的内容被正确地转义，从而防止注入攻击。

以下是一个示例代码，展示了如何使用JSX来创建React元素：

import React from 'react';

class MyComponent extends React.Component {
  render() {
    const htmlString = '<script>alert("XSS");</script>';
    const safeMarkup = <div>{htmlString}</div>;

    return (
      <div>
        {safeMarkup}
      </div>
    );
  }
}

在上面的代码中，我们将一个包含恶意脚本的字符串htmlString放入了一个React元素中。然而，由于我们使用了JSX语法，React会自动将字符串进行转义，确保恶意脚本不会被执行。

总结起来，为了更改HTML元素的标记，我们应该使用JSX语法来创建React元素，而不是通过从属性转换的字符串。这样可以确保代码的安全性，避免注入攻击的风险。

腾讯云相关产品和产品介绍链接地址：

• 腾讯云官网：https://cloud.tencent.com/
• 云服务器（CVM）：https://cloud.tencent.com/product/cvm
• 云数据库 MySQL 版：https://cloud.tencent.com/product/cdb_mysql
• 人工智能平台（AI Lab）：https://cloud.tencent.com/product/ailab
• 腾讯云物联网平台（IoT Hub）：https://cloud.tencent.com/product/iothub
• 移动推送服务（信鸽）：https://cloud.tencent.com/product/tpns
• 对象存储（COS）：https://cloud.tencent.com/product/cos
• 腾讯云区块链服务（TBaaS）：https://cloud.tencent.com/product/tbaas
• 腾讯云元宇宙解决方案：https://cloud.tencent.com/solution/metaverse