Express: самый безопасный способ анализа объектов, переданных в файл e js:

Question

Я использую express и, предположим, я хочу передать в свой e js следующее:

evilUser = { name: "evil", passwordHash: "rememberToNotSendSecrets", evenBetter: "store secrets separately", profileText: "I like to own noob webmasters</script><script>window.alert(1337);</script>" }

Теперь, если я render включу index.ejs , это вызовет предупреждение окна, делая его небезопасным. Есть ли способ передать его безопасно, чтобы все html / js атаки были удалены с объекта?

Answer 1

Перед передачей в e js вы можете санировать объект и go через каждую пару ключ-значение в объекте и искать теги сценария. Затем нарежьте теги сценария и их содержимое.