Olá,
surgiu uma dúvida em relacao ao que foi apresentado no curso sobre remover tags scripts de template.
Qual seria a vantagem em remover essas tags?
1
resposta
resposta
Remover script de template
Olá Victor, tudo bem com você?
Durante a condução do curso a parte de Negociacao sempre esteve bem protegida em relação aos atributos, agora quando temos valores textuais, algum usuário pode colocar um campo malicioso, por exemplo, vamos supor que o negociacao.data fosse um campo string, ele poderia tranquilamente colocar algo como:
<script> alert(document.cookies) </script>E quando chegasse no ${negociacao.data} da View teriamos alguma vulnerabilidade de segurança (XSS)
Então dado que não faz nenhum sentido o próprio programador inserir um código <script> dentro da template string acaba sendo uma boa prática fazer a exclusão dessa tag
Indo mais além, existem outras diversas regex, bem mais complexas, que são utilizadas para fazer sanitização, para também, remover outras tags como <img ou <video> :)
Conseguiu Compreender?
Abraços e Bons Estudos!