4
我在想我的應用程序的XSS漏洞。在服務器端,我不消毒輸入或輸出,所以小鬍子是否耐XSS?
<script>alert(document.cookies)</script>
存儲在數據庫盡然。爲了在客戶端查看這個值,我使用了鬍鬚。如果這個腳本是由管理員執行的,當然很容易劫持他的會話。不過我注意到鬍子默認逃脫這些值& \「<>當您使用{{}}語法。我需要擔心XSS,當從數據庫中的值會被插入到
<p>{{value}}</p>
甚至
<p data-id='{{value}}'>something</p>
?我應該檢討也許我的鬍鬚模板尋找任何漏洞的代碼,或除非我會使用
<script>{{value}}</script>
我很安全嗎?