J'ai un modèle MustacheJS avec l'image suivante:Est-ce que MoustacheJS-Snippen est sûr contre les attaques XSS?
<div class="thumbnail" style='background-image: url({{avatar}});'></div>
La variable {{avatar}}
est peuplée d'entrée utilisateur sans validation, et l'utilisateur peut entrer dans tout ce qu'ils veulent.
Est-ce sûr, ou quelqu'un peut-il passer une mauvaise entrée et exécuter XSS à travers cela?
Non, ce n'est pas sûr. Vous devez valider et désinfecter l'entrée. –
Nous devrions voir votre code exact. – Feathercrown
@RoryMcCrossan Pouvez-vous fournir une valeur d'entrée qui va entraîner l'exécution de JavaScript? Merci pour votre réponse! – Tream