Как передать значение в javascript в шаблоне который рендерится на стороне сервера?

Question

[Dmitry Shnyrev]

Как правильно передать объект внутрь script (на стороне фронтенда) при рендеринге темплейта на стороне сервера (express + nunjucks templates). Объект содержит пользовательские данные, то есть может содержать все что угодно. Объект сериализирую в JSON чтобы потом подставить в скрипт и распарсить с помощью JSON.parse. Если выводить напрямую, то включается html экранирование nunjucks и результирующий js получается невалидный. Если отключить экранирование и выводить как есть, то в это чревато проблемами с XSS. Что-то не получилось нагуглить внятного примера под nodejs, хотя знаю что задача актуальная и существуют методы в других шаблонизаторах (var a = {!JSENCODE(var)} к примеру в Visualforce). Нашел выход один, но так сказать через другое место — выводить JSON как обычный экранированный текст в html тег и потом вытягивать его с помощью innerHTML, а дальше парсить. Но может есть способ элегантнее?

ЗЫ: В интеренете в основном предлагают школьные примеры, которые не работают с точки зрения безопасности

<script>
    var obj = {{ json | safe }}; 
</script>

или

<script>
    var obj = JSON.parse("{{ json | safe }}"); 
</script>

Если json это

{userinput: "</script><script>alert('hacked')//", ...};

то это может плохо кончиться
без safe js внутри экранируется но строка становится невалидной для JS

Answer 1

[kulaeff]

Можно попробовать через data аттрибуты у какого-нибудь html-элемента, например, у body.
Допустим, json такой:

{
    id: 1,
    title: 'blablabla'
}

тогда будет

<body data-json="{id:1,title:'blablabla'}">

и дальше уже парсите его.
Либо можно разбить на несколько data аттрибутов:

<body data-id="1" data-title="blablabla">

Comments

[Dmitry Shnyrev]

Тут вопрос больше как правильно экранировать вставляемый JSON из под nunjucks/nodejs чтобы получился валидный JSON для js в теле страницы и не допустить запуска вражеского js если он будет присутствовать где-то внутри самого json.
Если в примере№1 выше вместо blablabla поставить
"><script>alert("123")</script>
то он выполнится.
На счет отдульных data атрибутов не выход - объект (json) может быть крайне сложный и может содержать кучу разной информации как и быть многострочный.

[kulaeff]

Тут уже от вашей задачи зависит: либо экранировать угловые скобки либо целиком вырезать все, что внутри script. А куда именно пихать json: в дата атрибуты, в innerHtml или в переменную внутри script таки да, уже не столь важно, хотя, имхо, дата атрибуты кажутся менее костыльным вариантом, чем остальные.

ЗЫ. Написал сообщение, а тостер не пропустил тег <script> )