Т.е. это XSS это фича?

monolithed, при чем тут XSS?
XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг»).
Или я что-то напутал или ты.
Ты в выражении сделал алерт и написал в нем "XSS". - продолжай мысль

XSS это возможность выполнения произвольного кода на странице пользователя.

Представь что кто-то начал использовать твой темплейтер, на почтовом сервисе.
Пользователю пишут письмо от с темой <script>alert(document.cookie)</script>, при заходе в почту этот код будет выполнен (конечно должно фильтроваться еще на сервере).

monolithed, я правда не понимаю чего ты несешь.
есть выражения, они в {таких} скобках, они возвращают какое-то значение, оно конвертится в строку и подставляется в текстовую ноду, при чем тут ВООБЩЕ XSS????


на чем основано это утверждение?

угу, вот твой клиент http://hashcode.ru/questions/280167/jquery-this-html

Еще раз, у тебя можно выполнить произвольный код, что тут не ясно?

<script src='//mychamber.ru/build/ui.js'></script>
{alert('XSS')}

Ты бы хоть заглядывал в тесты других проектов.

нет нельзя. выполни произвольный код ради примера.

Я тебе пример привел.

На еще один, раз не понимаешь:

<script src='//mychamber.ru/build/ui.js'></script>
Привет {document.write('XSS')}

Но там ты не выполняешь произвольный код. Там ты написал выражение в шаблоне, к нему имеет доступ только создатель шаблона. Текст который оно возвращает - подставляется на это место. Выполни мне произвольный код. Выполни мне алерт например.

(я не думал что ты на столько нуб)

Maxmaxmaximus5, объясняю, А отправляет письмо Б, письмо выглядит так

<script src='//mychamber.ru/build/ui.js'></script>
бла бла бла, я  свиснул твой акк {alert('Неудачник')} сюрприз

В итоге получаем то что у пользователя Б выполниться вредонсый код от правленый пользователем А