4
我在想我的应用程序的XSS漏洞。在服务器端,我不消毒输入或输出,所以小胡子是否耐XSS?
<script>alert(document.cookies)</script>
存储在数据库尽然。为了在客户端查看这个值,我使用了胡须。如果这个脚本是由管理员执行的,当然很容易劫持他的会话。不过我注意到胡子默认逃脱这些值& \“<>当您使用{{}}语法。我需要担心XSS,当从数据库中的值会被插入到
<p>{{value}}</p>
甚至
<p data-id='{{value}}'>something</p>
?我应该检讨也许我的胡须模板寻找任何漏洞的代码,或除非我会使用
<script>{{value}}</script>
我很安全吗?