我知道在将字符串中的值传递给数据库或处理它之前,应该始终正确地转义字符串。但是,当我查看 emberjs 的指南时,出现了一个问题,在 TEMPLATES 选项卡中的 WRITING HELPERS 下,在这段代码中,
Ember.Handlebars.helper('highlight', function(value, options) {
var escaped = Handlebars.Utils.escapeExpression(value);
return new Handlebars.SafeString('<span class="highlight">' + escaped + '</span>');
});
escapeExpression(似乎)emberjs 和 emberjs 的默认函数是客户端脚本框架,这意味着可以轻松修改其工作机制,因此 escapeExpression 将毫无意义!真的吗?如果不是这样,为什么?我一直问自己,如果客户网站框架实际上可以由客户自己修改,它怎么能安全地转义字符串?这让我很困扰。