ממשיך את הדיון מ קורס Node.JS שיעור טפסים:
שלום שלום!
לקחת קלט מהמשתמש ופשוט לרנדר אותו, זה זועק XSS לא?
תהיה בהמשך הקורס התייחסות לנושא?
או שיש איזו הגנה מובנית בEJS?
ממש תודה!
הקורסים שלך הם כיף גדול.
הי כל הכבוד על תשומת הלב !
יש הגנה מובנית ב EJS בדיוק כמו בפריימוורקים הרגילים של JavaScript, שימוש ב:
<%= name %>
מבצע Escaping למשתנה name כך שהוא לא יוכל לכלול תגיות HTML. זה יתחיל להיות בעיה כשאתה כן רוצה לאפשר למשתמשים להטמיע תגיות HTML בתוך תוכן שהם יוצרים (למשל כשאתה בונה עורך טקסט). בכל מקרה לגבי XSS מומלץ להשתמש ב CSP כמו שמוסבר כאן:
ואז לא לאפשר סקריפט מוטמע בתוך HTML רק מקבצים חיצוניים (וגם שם רק אלה שמגיעים מדומיין שלך).
יום אחד אבנה קורס מסודר על אבטחת מידע עם התעמקות בכל הנושאים האלה.
הלוואי. אני הרבה זמן מפחד לבנות טפסים כדי לא לעשות טעיות שיפגעו במשתמשים שלי.