【发布时间】:2020-04-04 16:26:36
【问题描述】:
我正在使用 express 并假设我想将以下内容传递给我的 ejs:
evilUser = { name: "evil", passwordHash: "rememberToNotSendSecrets", evenBetter: "store secrets separately", profileText: "I like to own noob webmasters</script><script>window.alert(1337);</script>" }
现在如果我在index.ejs 上render 它,它会触发窗口警报,使其不安全。有没有办法安全地传递它,以便从对象中删除所有 html/js 攻击?
【问题讨论】:
-
你为什么不用
JSON.stringify(evilUser)?
标签: javascript node.js express ejs