0

私のNode.jsプロジェクトで、私のビューで変数をエスケープする方法を知りたいです。

たとえば、私の .jade ビュー ファイルの #{name} は、SQL インジェクションまたは XSS に対して脆弱なようです。これを解決する標準的な方法はありますか? たとえば、ルビーでは <%= h name %> を実行することを知っています...

4

1 に答える 1

0 
Actually want #{} for some reason? escape it!

p \#{something}
now we have <p>#{something}</p>

We can also utilize the unescaped variant !{html}, so the following will result in a literal script tag:

- var html = "<script></script>"
| !{html}

https://github.com/visionmedia/jade#readmeから

于 2013-04-22T09:20:15.643 に答える