Oltre alla scansione dei file caricati dall'utente, vorrei anche assicurarmi che i moduli per i profili utente, i commenti, ecc. non possano essere utilizzati in modo improprio per inviare script dannosi. Quali sono alcuni noti metodi per farlo? Il controllo degli attacchi di script script dovrebbe essere eseguito lato client o lato server?
FWIW, ho controllato alcuni moduli relativi alla sicurezza in NPM, ma in genere sembrano riguardare la sicurezza di altri moduli, ed è possibile che mi sia sfuggito qualcosa di utile.
Un modo di cui sono a conoscenza, è quello di eliminare tutti i tag HTML, ma penso che sia un po 'pesante e probabilmente non efficace in tutti i casi.
Aggiornamento: A seconda della domanda, probabilmente ha dato l'impressione di essere su xss, nonostante il tag di iniezione. Quindi questo è solo per chiarire che si tratta sia di xss, sia di SQL injection.