Почему проходит xss?

Question

[Isaac Clark]

Здравствуйте
НАчал изучать Node js , в часности Express и столкнулся с такой проблемой, что если при заполнении формы указать в поле http:, то форма сделает запрос.
Почему так, разве Express 4 не должен все это дело обрабатывать?
Код на сервере

router.get('/users/:user_id/check', (req, res, next) => {
    const { user_id } = req.params;
   // Идем в базу и проверяем
      .then(isExist => {
        if (isExist) {
          res.status(200)
            .json({ user_id: 'Please enter a unique user ID' });
        } else {
          res.status(200)
            .json({ result: 'valid' });
        }
      })
      .catch(e => next(e));
  });

Как это дело исправить? В '/users/:user_id/check с помощью replace делать экранирование? но мне кажется, что Express должен уметь обрабатывать такие банальные вещи

Comments

[Михаил]

Не совсем понял вопрос, но попробуйте helmet

[Isaac Clark]

Михаил, он для бэкенда? Я думал, что на фронте используют

[Interface]

Что-то не очень понятно, приведенный вами код не должен делать запросов. Вы говорите, что запрос делает форма, формой обычно называют сущность фронтенда. Если запрос уходит из браузера - то экспресс тут не при чем.

[Михаил]

Isaac Clark,

Ну как же. Вот пример из документации
Но вопрос всё же поподробнее опишите. Не очень ясно, что конкретно вас не устраивает