0

我想知道如何在我的 Node.js 项目中转义变量。

例如,我的 .jade 视图文件中的 #{name} 似乎容易受到 SQL 注入或 XSS 的攻击。有没有解决这个问题的标准方法?我知道在红宝石中我会做 <%= h name %> 例如......

4

1 回答 1

0 
Actually want #{} for some reason? escape it!

p \#{something}
now we have <p>#{something}</p>

We can also utilize the unescaped variant !{html}, so the following will result in a literal script tag:

- var html = "<script></script>"
| !{html}

来自https://github.com/visionmedia/jade#readme

于 2013-04-22T09:20:15.643 回答