У меня есть простой стек с угловым 7+, node / express и postgresql.Меня очень смущает, если другим службам действительно нужно все экранировать / дезинфицировать (в основном строковые переменные).Это действительно необходимо?Как кто-то может внедрить xss через стандартную строковую переменную в моей модели (например, имя категории)?
В мои проверки я включаю следующее:
body('attribute').trim().escape() // Escapes < quotes, etc
Нужно ли мне делатьэто для всех строковых переменных?Что если я захочу оставить цитаты и все такое?
Любая помощь приветствуется.