Безопасный чат Node.js (избегайте XSS)
создаю простой маленький чат с Node.js и socket.io
Когда пользователь вводит свое сообщение, оно передается всем остальным пользователям.
Сервер отправляет сообщение:
io.sockets.emit('fromServerToClient', { "message": message });
Клиент отображает это:
socket.on('fromServerToClient', function (data) {
$('#messages').append(data.message + '<br>');
});
Но когда вы отправляете что-то вродеalert(1);
выполняется на каждом клиентском браузере.
Это серьезный недостаток безопасности, и я хочу как можно больше его избегать. Я'видел, как люди убегают&, and "
персонажи, но я нене думаю, что этодостаточно!
Как я могу быть на 100% уверен, что в моем чате нет уязвимости XSS?
Кстати, я всегда указываю кодировку, чтобы избежать атак UTF-7.
Спасибо за вашу помощь.