security: XSS no servidor Node.js — URL refletida sem escape no HTML em node/server.js

## Problema

Na listagem de diretórios em `node/server.js`, `req.url` é inserido diretamente no HTML sem qualquer sanitização:

```js
const html = `
  <h1>Arquivos em ${req.url}</h1>
  <ul>${list}</ul>
`;
```

Uma requisição para uma URL contendo tags HTML ou scripts (ex: `/<img src=x onerror=alert(1)>`) resulta em **XSS refletido** direto no navegador de quem acessa a listagem.

## Correção

Escapar o valor de `req.url` antes de inserir no HTML:

```js
const safeUrl = req.url.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;");
const html = `<h1>Arquivos em ${safeUrl}</h1>`;
```

## Possíveis impactos

- Sem impactos funcionais — apenas o valor exibido na página é afetado
- Elimina vetor de XSS em ambiente local/desenvolvimento

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

security: XSS no servidor Node.js — URL refletida sem escape no HTML em node/server.js #44

Problema

Correção

Possíveis impactos

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

security: XSS no servidor Node.js — URL refletida sem escape no HTML em node/server.js #44

Description

Problema

Correção

Possíveis impactos

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions