Имам случай на употреба, при който съдържанието на HTML шаблона за мустаци може потенциално да идва от приложението/крайния потребител (т.е. съдържанието на маркера на скрипта в кодовия фрагмент по-долу.)
<script id="template" type="x-tmpl-mustache">
Hello {{ name }}!
</script>
Тъй като това потенциално може да доведе до изпълнение на злонамерен код, аз го правя
- Разрешаване само на подмножество от HTML тагове и атрибути да бъдат добавени в шаблона (вътре в тага на скрипта)
- Разрешаването само на екранирани променливи в HTML, т.е. разрешено е само {{name}}, а не {{{name}}}.
Има ли нещо допълнително, което трябва да се вземе предвид за сигурността на приложението?