【问题标题】:Express: Safest way to parse parse objects passed to ejs file:Express:解析传递给 ejs 文件的解析对象的最安全方法:
【发布时间】:2020-04-04 16:26:36
【问题描述】:

我正在使用 express 并假设我想将以下内容传递给我的 ejs:

evilUser = { name: "evil", passwordHash: "rememberToNotSendSecrets", evenBetter: "store secrets separately", profileText: "I like to own noob webmasters</script><script>window.alert(1337);</script>" }

现在如果我在index.ejsrender 它,它会触发窗口警报,使其不安全。有没有办法安全地传递它,以便从对象中删除所有 html/js 攻击?

【问题讨论】:

  • 你为什么不用JSON.stringify(evilUser)

标签: javascript node.js express ejs


【解决方案1】:

在将它传递给 ejs 之前,您可以清理对象并遍历对象中的每个键值对并搜索脚本标签。然后切出脚本标签和里面的内容。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-04-02
    • 2020-01-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-07-14
    相关资源
    最近更新 更多