Clojure 自动转义HTML与Hiccup,有可能吗?
我只是打了个嗝:Clojure 自动转义HTML与Hiccup,有可能吗?,clojure,hiccup,Clojure,Hiccup,我只是打了个嗝: (hiccup.core/html [:h1 "<script>alert('xss');</script>"]) (hiccup.core/html[:h1“警报('xss');”) 令我惊讶的是,我得到了一个警告框,Hiccup在默认情况下并没有逃逸字符串。我看到有一种方法可以转义字符串,但在我看来,如果它不是默认值,迟早你会忘记并容易受到XSS的攻击 Hiccup中有没有一种方法可以让它在默认情况下转义字符串?没有,但这使它稍微方便一些: (h
(hiccup.core/html [:h1 "<script>alert('xss');</script>"])
(hiccup.core/html[:h1“警报('xss');”)
令我惊讶的是,我得到了一个警告框,Hiccup在默认情况下并没有逃逸字符串。我看到有一种方法可以转义字符串,但在我看来,如果它不是默认值,迟早你会忘记并容易受到XSS的攻击
Hiccup中有没有一种方法可以让它在默认情况下转义字符串?没有,但这使它稍微方便一些:
(hiccup.core/html [:h1 (hiccup.core/h "<script>alert('xss');</script>")])
(hiccup.core/html[:h1(hiccup.core/h“警报('xss');”))
hiccup2.0.0-alpha1
默认情况下有转义。您只需要将hiccup.core/html
调用更改为hiccup2.core/html
,它应该可以不做任何更改地工作
(str(hiccup2.core/html[:h1“警报('xss');“]))
我已经从1.0.5版升级了我的项目,它在没有任何倒退的情况下工作。HTH: