Defensive Programmierung mit Tagged Templates

Snippet

Defensive Programmierung mit Tagged Templates

Tagged Templates ermöglichen das Abfangen der Verarbeitung von Template-Literalen. Dieses 'Experten'-Muster ist entscheidend für den Aufbau von Domain Specific Languages (DSLs) oder Sicherheitsschichten, die Eingaben automatisch bereinigen, bevor sie sensible Ziele wie HTML oder SQL erreichen.

snippet.js
javascript
function safeHTML(strings, ...values) {
  return strings.reduce((acc, str, i) => {
    const val = String(values[i] || '').replace(/[&<>"]/g, c => ({'&':'&amp;','<':'&lt;','>':'&gt;','"':'&quot;'}[c]));
    return acc + str + val;
  }, '');
}
 
const userInput = '<img src=x onerror=alert(1)>';
const message = safeHTML`<div>User says: ${userInput}</div>`;
console.log(message);

nodejs

Erklärung

function safeHTML(strings, ...values)

Eine Tag-Funktion, die rohe String-Fragmente und die interpolierten Werte getrennt erhält.

values[i].replace(/[&<>"]/g, ...)

Escaped Sonderzeichen innerhalb der Werte aggressiv, um Injection-Angriffe zu verhindern.

safeHTML`... ${userInput}`

Ruft den Sanitizer-Tag auf und stellt sicher, dass der resultierende String sicher für das Rendering ist.

Vorheriges Snippet Nächstes Snippet

Mehr JavaScript-Übungen für Experten →

Verwandt

Aus deiner Bibliothek