在我的Rails应用程序的视图模板中,我必须为CoffeeScript变量分配一个实例值。我做了这样的事情:
:coffeescript
44 @selected_tab = "#{@tab}"
它工作正常,但我收到了跨站点脚本警告:
Unescaped parameter value (around line 44)
find_and_preserve(Haml::Filters::Coffee.render_with_options("@selected_tab = "#{params[:tab]}" ", _hamlout.options))
答案 0 :(得分:0)
我认为最好不要将变量直接插入到coffeescript中。
查看以下方法:http://railscasts.com/episodes/324-passing-data-to-javascript
答案 1 :(得分:0)
逃避需要是上下文。在这个博客系列中,有一些事情可能出错的例子:http://erlend.oftedal.no/blog/?blogid=91
我建议您阅读OWASP XSS预防备忘单:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet