eggjs nunjucks 防止出现XSS

XSS的产生

很多人需要在nunjuck里面输出json数据的时候会这么写:

但是这么写一点都不安全(虽然有一个safe)

dump只是将json对象序列化(stringify),safe只是告诉nunjucks不要进行escape(让nunjucks以为已经是安全的字符串了)

所以json里面使用 </script><script>alert(1) 之类的,就XSS啦

 

正确做法

app/extend/filter.js

模板文件:

 

 

参考:https://stackoverflow.com/questions/46426306/how-to-safely-render-json-into-an-inline-script-using-nunjucks/46427070

发表评论

电子邮件地址不会被公开。 必填项已用*标注