Express et ejs <%= pour rendre un JSON

Question

Dans mon index.ejs, j'ai ce code :

var current_user = <%= user %>

Dans mon nœud, j'ai

app.get("/", function(req, res){
    res.locals.user = req.user
    res.render("index")
})

Cependant, sur la page que j'obtiens

var current_user = [object Object]

et si j'écris

var current_user = <%= JSON.stringify(user) %>

J'obtiens :

var current_user = {"__v":0,"_id":"50bc01938f164ee80b000001","agents":...

Existe-t-il un moyen de transmettre un JSON qui sera JS lisible ?

Answer 1

Oh, c'était facile, n'utilisez pas <%= , utiliser <%- au lieu de cela. Par exemple :

 <%- JSON.stringify(user) %>

La première rendra le code HTML, la seconde rendra les variables (telles qu'elles sont, eval).

Answer 2

Attention !

Si l'utilisateur peut être créé par le biais d'appels API, <%- vous exposerait à une grave vulnérabilité XSS. Des solutions possibles peuvent être trouvées ici :

Passer des variables à JavaScript dans ExpressJS

Answer 3

Si, comme moi, votre objet peut inclure un caractère échappé tel que / o " utilisez alors cette solution plus robuste

var current_user = <%- JSON.stringify(user).replace(/\\/g, '\\\\') %>

Answer 4

Cela fonctionnera désormais dans la dernière version d'Express