Как в jade запретить выполнение скриптов?

Question

Vlad Timofeev @PyTiMa

Учусь, кручусь, верчусь.

Node.js
Pug

Как в jade запретить выполнение скриптов?

Снова здрасте :)
В шаблон из БД передается допустим содержимое поста, отредактированное юзером(в хтмл).
Вот так:
!{post.text}
Но если там тег скрипт, то jade не игнорит его, а пропускает.. Как отловить эти строки со скриптом и запретить его?

Вопрос задан более трёх лет назад
2269 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

3 комментария

Vlad Timofeev @PyTiMa Автор вопроса

Но тогда jade не дает валидный html, который редактировал юзер

Написано более трёх лет назад
SagePtr @SagePtr

Влад Developer: если давать юзеру возможность использовать html, он сможет скрипты исполнять. Как вариант, на стороне сервера проверять отправляемые посты и вырезать весь HTML кроме некоторого разрешённого подмножества. А из разрешённых тэгов вырезать атрибуты, ибо через них тоже можно назначить события.

Написано более трёх лет назад
Vlad Timofeev @PyTiMa Автор вопроса

SagePtr: спасибо.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Node.js

Простой
По какому принципу декораторы работают в Node JS?
- 1 подписчик
- 21 апр.
- 62 просмотра
1

ответ
Node.js

+3 ещё

Простой
Как настроить WSS на apache, учитывая что https (REST api) работает?
- 1 подписчик
- 21 апр.
- 99 просмотров
1

ответ
Node.js

+1 ещё

Средний
Как авторизироваться в вк через node js?
- 1 подписчик
- 20 апр.
- 41 просмотр
0

ответов
JavaScript

+2 ещё

Средний
Проблемы с telegram bot, а именно с сообщениями, как исправить?
- 1 подписчик
- 17 апр.
- 89 просмотров
1

ответ
Node.js

+1 ещё

Простой
Error during build: RollupError: Could not resolve. Как исправить ошибку?
- 1 подписчик
- 15 апр.
- 36 просмотров
2

ответа
JavaScript

+4 ещё

Простой
Что делать, если после залива приложения на VPS страница остается недоступной?
- 1 подписчик
- 15 апр.
- 100 просмотров
2

ответа
JavaScript

+2 ещё

Простой
Как на стороне сервера узнать что клиент закрыл браузер?
- 1 подписчик
- 13 апр.
- 181 просмотр
2

ответа
Node.js

Простой
Почему coverage в vitest не видит нужную версию node и падает?
- 1 подписчик
- 13 апр.
- 53 просмотра
1

ответ
Node.js

+1 ещё

Средний
Как подключиться к trust wallet при помощи node js?
- 1 подписчик
- 11 апр.
- 66 просмотров
1

ответ
Node.js

+1 ещё

Простой
Как загрузить в бакет Yandex Cloud файл, используя axios nodejs?
- 1 подписчик
- 11 апр.
- 35 просмотров
1

ответ
Показать ещё Загружается…

Node.js разработчик

ДАЛЕЕ • Москва

от 200 000 ₽

Senior Backend Developer Node.js

Radium Finance • Москва

от 300 000 до 400 000 ₽

Backend Developer (Node.js), Remote 🔥

Fundraise Up

от 3 800 до 6 300 $

Кастомизация стандартного функционала Битрикс24

25 апр. 2024, в 11:33

7000 руб./за проект

Обновить C# приложения с net4 до net8. Платформа для трейдинга

25 апр. 2024, в 11:33

2500000 руб./за проект

Монтаж ролика для инстаграм

25 апр. 2024, в 11:26

500 руб./за проект

Answer 1 · 2015-01-17 01:03:38

#{post.text}
Но находиться должен не вначале строки, а быть вложенным хотя бы во что-то, иначе будет воспринят как тэг.
Например, так:
div.post #{post.text}

Answer 2 · 2015-01-17 01:34:49

Vlad Timofeev @PyTiMa Автор вопроса

Учусь, кручусь, верчусь.

Ответ написан более трёх лет назад

1 комментарий

Как в jade запретить выполнение скриптов?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт