我听说这是不安全的,因为可以通过XSS攻击检索令牌。网站上只有一个输入,用户可以在其中添加评论。但是我使用字符串插值绑定注释值,例如:
${commentText}
我的理解是不可能将html注入这样的绑定中。
如果没有使用html绑定,是否可以使用aurelia网站进行XSS攻击?如果没有,如果令牌不可访问,我是否会受到CSRF攻击的保护?
我在网上看到的唯一例子是,用户是否可以通过XSS攻击将html(通过某种形式的输入)注入页面,向攻击者泄露令牌。我无法使用字符串插值绑定来复制它。
答案 0 :(得分:1)
这不是对您的问题的完整答案,但Aurelia将HTML转义为插入到与${commentText}类似的模板中的任何文本。
此规则的唯一例外是当您使用此innerhtml之类的<div innerhtml.bind=“htmlText”></div>绑定时。在这种情况下,我们不会对以HTML格式发送的文本进行任何清理。这取决于你。