我在考虑我的应用程序的 XSS 漏洞。在服务器端,我不清理输入或输出,所以
<script>alert(document.cookies)</script>
完全如此存储在数据库中。为了在客户端查看这个值,我使用 Mustache。如果这个脚本是由管理员执行的,当然很容易劫持他的会话。但是我注意到当您使用 {{}} 语法时,Mustache 默认会转义这些值 & \ " < >。我是否需要担心 XSS,当数据库中的值将被插入时
<p>{{value}}</p>
甚至
<p data-id='{{value}}'>something</p>
? 我是否应该查看我的 Mustache 模板以查找任何易受攻击的代码,或者除非我使用
<script>{{value}}</script>
我安全吗?