阻止SSS中的XSS

Question

如何通過NodeJS SocketIO清理輸出？

我基本上呈現由服務器廣播的消息很簡單SocketIO聊天應用程序，而我試圖找出我怎麼能避免這樣的消息作爲

<script>...</script> 

或其他形式的XSS的是注入前端聊天。

我在做什麼基本上是：

$('#chat').append(message); 

我已經告訴逃脫在後端（輸出），而不是前端的消息。那是對的嗎？如果是這樣，我該如何逃避它？任何節點模塊？

Answer 1

轉義是你在輸出到HTML時做的事情，因此nodejs和socket.io大多是不相關的。請參閱OWASP XSS Prevention備忘單，瞭解需要不同轉義的不同上下文。你似乎在使用jQuery。你可以使用jQuery編碼器，或者簡單的類似於：

$("<div>").text(message).appendTo("#chat")