我正在使用express,并且想将以下内容传递给我的ejs:
evilUser = { name: "evil", passwordHash: "rememberToNotSendSecrets", evenBetter: "store secrets separately", profileText: "I like to own noob webmasters</script><script>window.alert(1337);</script>" }
现在,如果我在render上单击index.ejs,它将触发窗口警报,从而使其不安全。有没有一种方法可以安全地传递它,以便从对象中删除所有的html / js攻击?
在将其传递给ejs之前,您可以清理对象并遍历对象中的每个键值对并搜索脚本标签。然后切下脚本标签及其中的内容。