jello velocity xss protect
Switch branches/tags
Nothing to show
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Failed to load latest commit information.
.gitignore
README.md
codeGen.js
index.js
package.json
transform.js
xss.png

README.md

jello-optimizer-velocity-xss

自动将内容区的变量加 $esc.html 包裹。

#script()#end 中的用 $esc.javascript 包裹。

Diff

使用

安装

npm install -g jello-optimizer-velocity-xss

启用插件

fis.config.set('modules.optimizer.vm', 'velocity-xss');

然后使用 release 命令的时候,记得带上 -o 参数。

jello release -o

配置项

目前只有 blacklist 一个配置项。数组格式,元素为正则对象。

fis.config.set('settings.optimizer.velocity-xss', {
  blacklist: [
    /^foo/i, // foo 打头的变量不进行转换。
  ]
});