使用 nodejs & expressjs：在不模板的情况下将 .env 传递给 html 的好方法是什么？

// source.html    
$.get( "/env", function( data ) {console.log(data);});

// index.js
app.get('/source', function(req, res){
  res.sendFile(__dirname + '/source.html');
});
app.get('/env', function(req, res) {
      res.send(process.env);
});

听起来您有两个问题：安全性（现在可能不相关，但将来会相关）和演示（模板还是不模板？ 我仍然不清楚您的演示文稿需要什么，但我会就此提供一些建议。 我们将从安全性开始。

鉴于将来可能会有暴露敏感详细信息的环境变量，我建议将返回的环境变量列入白名单。 它将防止（或至少减少）敏感信息在未来意外暴露的可能性。 白名单意味着你明确了你允许通过的内容（黑名单意味着你明确了你不让通过的内容）。 以下是我如何实现要返回的环境变量白名单（这只返回 JSON;我们稍后会讨论表示）：

const envWhitelist = new Set([
    "TERM", "SSH_TTY", "PATH", "SHELL",
    "EDITOR", "LANG", "NODE_PATH",
]);
app.get('/env.json', function(req, res) {
    res.send(Object.keys(process.env)
        .filter(k => envWhitelist.has(k))
        .reduce((a, k) => (a[k] = process.env[k], a), {})
    );
});

注意：我在这里使用了一些 ES6 功能。 特别是箭头符号函数和Set对象。 这适用于当前版本的 Node（v4.2.2 及更高版本）。

这允许您指定您认为"安全"向世界公开的环境变量。 我在这里会非常小心，您可能会惊讶于哪些环境变量会导致经验丰富的黑客成功利用漏洞。 例如，我不会公开PATH或TERM，或者坦率地说，我不会公开任何我没有自己设置的东西。 所以在这里要小心。

我认为在这种情况下列入黑名单将非常危险（如果您添加包含敏感信息的环境变量，则必须记住每次将其添加到黑名单中），但为了完整起见，这里是：

const envBlacklist = new Set([
    "SOME_SECRET_VAR", "DB_PASSWORD",
    "WHATEVER_ELSE",
]);
app.get('/env.json', function(req, res) {
    res.send(Object.keys(process.env)
        .filter(k => !envBlacklist.has(k))
        .reduce((a, k) => (a[k] = process.env[k], a), {})
    );
});

好的，现在让我们谈谈演示。 到目前为止，我们刚刚返回 JSON（这就是我将端点更改为 GET /env.json 的原因），这适用于前端演示。 也就是说，您可以使用AJAX调用，然后使用jQuery或模板库动态构造HTML。 但是如果你想从服务器获取HTML，即使没有模板库，也很容易做到。 下面是一个使用 HTML <dl>的白名单示例：

const envWhitelist = new Set([
    "TERM", "SSH_TTY", "PATH", "SHELL",
    "EDITOR", "LANG", "NODE_PATH",
]);
app.get('/env', function(req, res) {
    const keys = Object.keys(process.env)
        .filter(k => envWhitelist.has(k));
    res.send('<dl>' +
        keys.map(k => '<dt>' + k + '</dt><dd>' + process.env[k] + '</dd>')
            .join('') + '</dl>');
});

我

不确定我是否认为这个例子比使用模板更好，但这是避免模板化的一种方法。