У меня есть вариант использования, в котором содержимое HTML-шаблона с усами потенциально может исходить от приложения/конечного пользователя (т.е. содержимое тега script в приведенном ниже фрагменте кода).
<script id="template" type="x-tmpl-mustache">
Hello {{ name }}!
</script>
Поскольку это потенциально может привести к выполнению вредоносного кода, я делаю
- Разрешено добавлять в шаблон только подмножество HTML-тегов и атрибутов (внутри тега script)
- Разрешены только экранированные переменные HTML, т. е. разрешены только {{name}}, а не {{{name}}}.
Есть ли что-то еще, что необходимо учитывать для обеспечения безопасности приложения?