Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 11
Это уязвимость
data = data.replace('<script>__INITIAL_DATA__</script>', `<script>window.__INITIAL_DATA__ = ${JSON.stringify(store.getState())};</script>`);Если в любой строке из state будет
"</script><script>alert('hack')</script>"то это сработает, парсер html не смотрит, что там js строка. Просто сохраните в html файл такой код и посмотрите
<script>
const json = {"text":"</script><script>alert(1)</script>" };
console.log(json);
</script>
Спасибо, да, согласен.
Но этот код же выполняется на стороне сервера, state формируется также на сервере, откуда там взяться XSS, если мы там контролируем сами все
Но этот код же выполняется на стороне сервера, state формируется также на сервере, откуда там взяться XSS, если мы там контролируем сами все
Хотелось бы поподробнее про проблемы с Next.js. По своему опыту могу сказать, что разработка на Next — просто сказка, когда разбираешься с его особенностями.
Если разрабатывать с 0 проект, то большинство проблем можно избежать. + в 9й версии Next.js тоже некоторые возникшие проблемы уже не актуальны.
На данный момент могу только в виде видео показать www.youtube.com/watch?v=eenX8EGkTZM
На данный момент могу только в виде видео показать www.youtube.com/watch?v=eenX8EGkTZM
Можно выводы, стоит ли игра свеч? Насколько быстрее стало рендериться приложение?
А что скажите по поводу Razzle?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Server Side Rendering для React App на Express.js