XSS的产生

很多人需要在nunjuck里面输出json数据的时候会这么写：

{{ jsonData | dump | safe }}

1	{{ jsonData \| dump \| safe }}

但是这么写一点都不安全（虽然有一个safe）

dump只是将json对象序列化（stringify），safe只是告诉nunjucks不要进行escape（让nunjucks以为已经是安全的字符串了）

所以json里面使用 </script><script>alert(1) 之类的，就XSS啦

正确做法

app/extend/filter.js

let nunjucks = require('nunjucks');
let devalue = require('devalue');

export function jsonsafe(data) {
  let s = devalue(data);
  return nunjucks.runtime.markSafe(s);
}

let nunjucks = require('nunjucks');

let devalue = require('devalue');

export function jsonsafe(data) {

let s = devalue(data);

return nunjucks.runtime.markSafe(s);

}

模板文件：

{{ jsonData | jsonsafe }}

1	{{ jsonData \| jsonsafe }}

参考：https://stackoverflow.com/questions/46426306/how-to-safely-render-json-into-an-inline-script-using-nunjucks/46427070

eggjs nunjucks 防止出现XSS

XSS的产生

正确做法

发表回复取消回复

XSS的产生

正确做法

发表回复 取消回复

发表回复取消回复