Я думал о уязвимости XSS моего приложения. На стороне сервера я не дезинфицирую ни входной, ни выходной, поэтомуIs Mustache XSS-proof?
<script>alert(document.cookies)</script>
хранится в базе данных именно так. Чтобы просмотреть это значение на стороне клиента, я использую Mustache. Если этот скрипт был выполнен администратором, то, конечно же, легко захватить его сеанс. Однако я заметил, что Усы по умолчанию ускользает эти значения & \ "<> при использовании {} {} синтаксис. Нужно ли мне беспокоиться о XSS, когда значение из базы данных будет вставлен в
<p>{{value}}</p>
или даже
<p data-id='{{value}}'>something</p>
? Должен ли я, возможно, пересмотреть свои шаблоны усы искать какой-либо уязвимого кода, или если я не использовал бы
<script>{{value}}</script>
Я в безопасности?