基于NodeJS的前后端分离的思考与实践（四）安全问题解决方案

预防XSS攻击的基本方法是：确保任何被输出到HTML页面中的数据以HTML的方式进行转义。解决方法很简单，就是将$description的值进行html escape，转义后的输出代码如下以上经过转义后的HTML代码是没有任何危害的。否则，模板内部和程序会两次转义叠加，导致不符合预期的输出。')后续，错误处理的安全机制，会在Midway框架层面中完成。攻击者通过各种方法伪造一个请求，模仿用户提交表单的行为，从而达到修改用户的数据或执行特定任务的目的。因为Midway不涉及到淘宝分布式session及token校验这一层面逻辑，所以在Midway框架中，只将token在server和客户端之间进行转发，本身不做实际的校验工作。