在使用Backbone的時候,若使用underscore來compile你的html檔

為了預防XSS攻擊,我們應該要將輸出的字串做escaping,尤其是這段字串是自由讓某個使用者輸入的情形下,

更應該要escape。

使用underscore 的 _.template() function時,做escaping應該這樣寫

<%- variable %>

不escaping的情形:

<%= variable %>

實在簡單