作为一个有最求的模板引擎 jade
1.各种简写方式 如
| 代表我这一行的类容原样输出。
. 代表我下面的所有子类容都原样输出。
- 代表我下面所有没有其他标识的的子类容都当作代码运行(当然代码不会输出)。
{} 代表着变量 当然还有简写方式 =
2.注入式攻击
一个有趣的攻击,比如在你网站的留言板上,客户会写一段代码作为留言,此代码有点坏,如果你把它稳稳的放在你的网站中,你可能就着道了,所以一般的后台都会讲留言中的代码加以编译,让他不以代码的形式出现,当然就没有一点点破坏作用了,这是jade自带的,如果你一定要它带着代码,你只需要要在前加上 ! 告诉jade 这段东西我确认过了,你可以原样编译给我。
网友评论