变色龙模板是否为变量转义/剥离XSS和HTML标记?以下是安全的吗?
<script type="text/javascript">
var initialComments = ${comments};
for (var i = 0; i < initialComments.length; i++) {
initialComments[i].userId = initialComments[i].user_id;
}
var post = ${post}
// ...
</script>
我有一个使用变色龙的金字塔应用程序。我需要在DOCTYPE中声明一些属性,如下所示:
<!DOCTYPE public html .........
[
<!ATTLIST tag attributes CDATA #IMPLIED>
]>
当我将其添加到我的模板中时,id不能正确地呈现,并且我的浏览器绘制"]>“。
当我删除ATTLIST而只执行<!DOCTYPE public html .........>时,一切都正常。
我如何告诉Chameleon不要解析ATTLIST部分并按原样复制它?