Node.js 在视图中转义变量?
我想知道如何在Node.js项目的视图中转义变量 例如,my.jade视图文件中的#{name}似乎容易受到SQL注入或XSS的攻击。有没有标准的方法来解决这个问题?我知道在ruby中,我会这样做,例如…Node.js 在视图中转义变量?,node.js,xss,sql-injection,Node.js,Xss,Sql Injection,我想知道如何在Node.js项目的视图中转义变量 例如,my.jade视图文件中的#{name}似乎容易受到SQL注入或XSS的攻击。有没有标准的方法来解决这个问题?我知道在ruby中,我会这样做,例如…出于某种原因,实际上想要{}?逃开! Actually want #{} for some reason? escape it! p \#{something} now we have <p>#{something}</p> We can also utilize t
出于某种原因,实际上想要{}?逃开!
Actually want #{} for some reason? escape it!
p \#{something}
now we have <p>#{something}</p>
We can also utilize the unescaped variant !{html}, so the following will result in a literal script tag:
- var html = "<script></script>"
| !{html}
p\{something}
现在我们有了{something}
我们还可以使用未经scaped的变体!{html},因此以下内容将生成文字脚本标记:
-var html=“”
| !{html}
从IIRC,默认情况下Jade会转义。是的,默认情况下Jade会转义,请使用!{}如果你不想逃跑,我明白了。(message是一个变量):p=message p#{message}变量message和#{message}是相同的,这取决于您在哪里/如何使用它们。下面的文章帮助了我