Реально ли внедрение кода node.js?

Question

[Fragman]

Реально ли внедрять вредоносный код в отправку socket.io?
Есть вот такой код на стороне node.js, который принимает событие

socket.on('make_turn', function(data) { //выполнение хода
		var gid = data.gid,
		acts = data.acts;
	    	makeTurn(gid, acts);
	});

Можно ли каким-то образом подстроить data и выполнить вредоносный код?

Comments

[DanKud]

Через сокет передаются строковые значения. То есть если в ответе коллбэка будет какой-то вредоносный скрипт, то для сервера он все-равно будет просто строкой. Другое дело как вы используете полученные значения. Если вы например будете выводить их на страницу клиента, то конечно может быть передан вредоносный для клиента код. Если вы будете обрабатывать эти значения только на сервере, то никаких проблем быть не должно.