1

我有一个带有模板的 Meteor 0.8.3 应用程序:

<template name="example">
    Description: {{desc}}
</template>

和 javascript:

Template.example.desc = function(){
    return Session.get("desc");
}

用户设置了 Session 的desc.

我想在显示之前稍微标记文本,例如。用 替换回车<br>,并添加一些分词符(html 代码&#8203;)。

我相信我可以通过模板中的一些正则表达式替换Template.example.desc和三括号来做到这一点{{{desc}}}- 但是,这为用户将自己的 html 输入到字符串中打开了大门,这是不安全的。所以我想让 Meteor 首先使字符串安全,然后才应用我的标记。

我该怎么做?谢谢!

4

1 回答 1

1

{{{desc}}}是要走的路。我不认为这是一个安全错误,因为您只能更改自己的会话“desc”。如果您谈论的是保存在数据库中并向所有用户显示的变量,那么在发送回客户端之前,服务器端检查或用您的标记包装变量会更合适。

于 2014-10-07T12:20:41.693 回答