socket.io tiene la vulnerabilidad XSS? ¿Cómo resolver esto?
Pregunta
Creo socket.io tiene una vulnerabilidad XSS y me pregunto cómo resolver esto.
Ver mi post sobre pubsub redis con socket.io que tiene un / el agujero XSS.
de Redis-cli cuando haces:
publish pubsub "<script>alert('Hello world!');</script>"
Usted verá un cuadro de diálogo de alerta con Hello world!
que es BAD ...
Para resolver este me copió el siguiente fragmento de la biblioteca de jade de Visionmedia y preguntarse si esto es suficiente?
/**
* Escape the given string of `html`.
*
* @param {String} html
* @return {String}
* @api private
*/
function sanitize(html){
return String(html)
.replace(/&(?!\w+;)/g, '&')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/"/g, '"');
}
Es esto suficiente o me estoy perdiendo algo? Tal vez incluso dentro socket.js para resolver el problema?
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow