文字列内の値をデータベースに渡したり処理したりする前に、常に文字列を適切にエスケープする必要があることを私は知っています。ただし、このコードの中で、TEMPLATES タブ内の WRITING HELPERS の下にある emberjs のガイドを見ているときに発生した懸念は、
Ember.Handlebars.helper('highlight', function(value, options) {
var escaped = Handlebars.Utils.escapeExpression(value);
return new Handlebars.SafeString('<span class="highlight">' + escaped + '</span>');
});
(のescapeExpressionように思われる) emberjs のデフォルト関数と emberjs はクライアント側のスクリプト フレームワークです。つまり、仕組みを簡単に変更できるため、escapeExpression は何の意味もありません! 本当?そうでない場合、なぜですか?クライアント自身が実際に変更できる場合、クライアントサイトのフレームワークが文字列を安全にエスケープするにはどうすればよいでしょうか? それは私をとても悩ませています。