Node.js와 Underscore.js를 사용하고 있습니다. 서버 측 또는 클라이언트 측에서 JSON 데이터를 이스케이프할지 여부를 결정할 수 없습니다. 밑줄 문자는 <%= someValue %>
구문을 사용하지만 보간 값은 <%- someValue %>
으로 자동 이스케이프 처리하지 않으므로 EJS와는 달리 혼동을 일으킬 수 있습니다. GitHub에는 issue이 있고 자동 탈출 버전은 commit입니다. 그러나 문제 아래에 코멘트 말했다 :Node.js - JSON 데이터, 서버 또는 클라이언트 측에 HTML 이스케이프를 수행 할 때?
내가 탈출하는 할 때,
그래서 템플릿 언어보다 어떤 제안을 가까이 데이터를 수행해야하는 일반적인 철학 해요 AJAX 데이터에 대한 HTML 이스케이프가 더 좋습니다? 누구나 할 수있는 혼란 때문에
res.json(xss(someData));
는 그냥 XSS의 소독제가의 노드 검증 [링크] (https://github.com/chriso/validator.js) ** 중지되는 ** 버전 3에 버전 3을 사용되지 않는 것을 지적 라이브러리 일부 기능은 더 이상 지원되지 않습니다. ** XSS 소독제 : 여기에 그 이유가 있습니다. 대신 Google Caja를 사용하십시오. ** 향후 참조를 위해이 댓글을 추가 하시려면 – gumaflux
@gumaflux로 대답하십시오. https://www.npmjs.org/package/sanitizer를 의미합니까? – laggingreflex