我刚用Hiccup试过这个:
(hiccup.core/html [:h1 "<script>alert('xss');</script>"])
令我惊讶的是我得到了一个警报框,Hiccup默认情况下不会转义字符串.我看到有一种方法来逃避字符串,但在我看来,如果它不是默认值,迟早你会忘记并且容易受到XSS的攻击.
Hiccup有没有办法让它在默认情况下逃脱字符串?
最佳答案 不,但
core/h
is an alias for escape-html
使它更方便:
(hiccup.core/html [:h1 (hiccup.core/h "<script>alert('xss');</script>")])