yantishko 28 окт 2019 в 10:25

Server Side Rendering для React App на Express.js

7 мин

43K

Веб-разработка*JavaScript*HTML*Node.JS*ReactJS*

Комментарии 11

alexesDev 28 окт 2019 в 10:28

Это уязвимость

data = data.replace('<script>__INITIAL_DATA__</script>', `<script>window.__INITIAL_DATA__ = ${JSON.stringify(store.getState())};</script>`);

Если в любой строке из state будет

"</script><script>alert('hack')</script>"

то это сработает, парсер html не смотрит, что там js строка. Просто сохраните в html файл такой код и посмотрите

<script>
  const json = {"text":"</script><script>alert(1)</script>" };
  console.log(json);
</script>

yantishko 28 окт 2019 в 11:22

Спасибо, да, согласен.
Но этот код же выполняется на стороне сервера, state формируется также на сервере, откуда там взяться XSS, если мы там контролируем сами все

alexesDev 28 окт 2019 в 11:31

У вас пользователи не добавляют контент (комментарии?), нет данных от сторонних апи и вы уверены в каждом сотруднике? XSS тут есть. То, что его не могут использовать посторонние люди другой вопрос.

yantishko 28 окт 2019 в 11:45

С замечанием согласен, проблема возможна.
Но в нашем случае все API надежное и если уже добавление контента будет, то оно будет обрабатываться при сохранении, а не при чтении.

Snelsi 28 окт 2019 в 15:43

Хотелось бы поподробнее про проблемы с Next.js. По своему опыту могу сказать, что разработка на Next — просто сказка, когда разбираешься с его особенностями.

yantishko 28 окт 2019 в 15:44

Если разрабатывать с 0 проект, то большинство проблем можно избежать. + в 9й версии Next.js тоже некоторые возникшие проблемы уже не актуальны.
На данный момент могу только в виде видео показать www.youtube.com/watch?v=eenX8EGkTZM

Snelsi 28 окт 2019 в 16:11

Ну, девятой версии скоро будет полгода. О проблемах восьмой версии уже и правда немного неактуально говорить.

Modin 28 окт 2019 в 22:26

Можно выводы, стоит ли игра свеч? Насколько быстрее стало рендериться приложение?

yantishko 29 окт 2019 в 11:40

Задача выполнялась больше для SEO, с перформансом проблем у нас не было.
Для SEO задача выполнена на 100%, все показатели 90-98.
Касаемо скорости загрузки всего контента, разница в 2 раза, SSR шустрее.

SSR: