Olá,
surgiu uma dúvida em relacao ao que foi apresentado no curso sobre remover tags scripts de template.
Qual seria a vantagem em remover essas tags?
Você está vendo a versão anterior da nova experiência da Alura que estamos preparando para você. Em breve, ela ganha uma identidade visual novinha totalmente pensada em potencializar seus estudos!
Olá,
surgiu uma dúvida em relacao ao que foi apresentado no curso sobre remover tags scripts de template.
Qual seria a vantagem em remover essas tags?
Olá Victor, tudo bem com você?
Durante a condução do curso a parte de Negociacao sempre esteve bem protegida em relação aos atributos, agora quando temos valores textuais, algum usuário pode colocar um campo malicioso, por exemplo, vamos supor que o negociacao.data fosse um campo string, ele poderia tranquilamente colocar algo como:
<script> alert(document.cookies) </script>E quando chegasse no ${negociacao.data} da View teriamos alguma vulnerabilidade de segurança (XSS)
Então dado que não faz nenhum sentido o próprio programador inserir um código <script> dentro da template string acaba sendo uma boa prática fazer a exclusão dessa tag
Indo mais além, existem outras diversas regex, bem mais complexas, que são utilizadas para fazer sanitização, para também, remover outras tags como <img ou <video> :)
Conseguiu Compreender?
Abraços e Bons Estudos!