0

在我的 Rails 应用程序的视图模板中,我必须将实例值分配给 CoffeeScript 变量。我做了这样的事情:

:coffeescript
 44   @selected_tab = "#{@tab}"

它工作正常,但我收到跨站点脚本警告:

Unescaped parameter value (around line 44)
find_and_preserve(Haml::Filters::Coffee.render_with_options("@selected_tab = "#{params[:tab]}" ", _hamlout.options))
4

2 回答 2

0

我认为您最好不要将变量直接插入到您的咖啡脚本中。

查看这些方法:http ://railscasts.com/episodes/324-passing-data-to-javascript

于 2013-05-02T13:45:20.667 回答
0

转义需要与上下文相关。在这个博客系列中,有一些事情可能会出错的例子:http ://erlend.oftedal.no/blog/?blogid=91

我鼓励您阅读 OWASP XSS 预防备忘单:https ://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

于 2013-05-03T13:21:19.993 回答