ЕТ
Виноват
Size: a a a
2017 May 11
AK
Если это тот проект, о котором я говорю, то советую не тратить на него своё время, ибо жесть, процессов нет, хотелки-хотелки, 7 пятниц на неделе и т.п.
AK
При мне девочку одним днём увольняли с его подачки, без письменных предупреждений и попытки нормально разойтись, вечером подошла к ней охрана - отдавай рабочие вещи, ключи и домой дуй, завтра не приходи
AK
Мы её всем отделом разработки отстояли, через 2 дня перед ней извинились и по соглашению сторон разошлись в 2мя окладами.
AK
Но ситуация дрянь, и таких было несколько, аудиопруфы есть, 10 человек могут подтвердить. Так что, логины, начинающиеся на "Mark" теперь вызывают у меня чувство блевоты и подозрения)
AK
Да, имя этого "начальника" Александр Павлов, на всякий случай)
SK
Давайте разбавлю негатив нубским вопросом. Предположим, что с сервера приходит модель article, текст которой написан с html тегами. При условии, что article.text генерируется не кем попало, а контент менеджером, можно ли спокойно выводить текст в тройных скобках: {{{atricle.text}}} или все-таки есть какой-то вектор атаки и так делать не стоит никогда?
ЕТ
Есть htmlSafe
SK
Как я понял, htmlSafe сам по себе просто меняет метод toHTML. То есть, если мы просто всегда будем его применять, то это ничем не будет отличаться от трех скобок? Или отличия есть?
ЕТ
Я юзаю emblem.js
ЕТ
Но ща
SK
да-да, я уже посмотрел, внутри просто return new SafeString(str)
ЕТ
Так ты можешь на бэкенде сделать посткорректировку текста
ЕТ
А выводить уже без страха
SK
Я больше думал о возможности подмены/инъекции, не большой специалист по вопросам безопасности, поэтому и спросил)
ЕТ
Ну я вывожу HTML safe и на бекенде все обрабатываю