Если вы не возвращаете информацию от пользователя и не отправляете ее другим пользователям, например, с помощью приложения чата, или когда вы не получаете эхо от пользователей и команд exec (используя опцию execHash), это не влияет на безопасность.
Если вы делаете эхо от пользователя, пользователь может поставить [[!;;;;javascript:alert("xss")]xss], если вы также разрешаете форматирование от пользователя.Таким образом, вы будете в безопасности, если будете использовать это:
$('body').terminal(function(text) {
this.echo($.terminal.escape_brackets(text));
});
, и вы тоже будете в безопасности.
И если вам нужно отгадать что-то от пользователей и разрешить форматирование, тогда вам нужно подтвердитьпользовательский ввод, как при обычном предотвращении XSS, но строки будут другими.