had

static/js/pm-ui.js

@@ -40,6 +40,17 @@
       const cancelBtn = document.getElementById('pm-cancel');
       let editingId = null;
 
+      // Безопасное экранирование HTML для вставок в UI
+      function pmEscapeHtml(s) {
+        const str = String(s ?? '');
+        return str
+          .replace(/&/g, '&')
+          .replace(/</g, '&lt;')
+          .replace(/>/g, '&gt;')
+          .replace(/"/g, '&quot;')
+          .replace(/'/g, '&#39;');
+      }
+
       // Изменения блока применяются только по кнопке «Сохранить» внутри редактора блока.
 
       // Drag&Drop через SortableJS (если доступен)
@@ -77,11 +88,13 @@
           li.style.alignItems = 'center';
           li.style.gap = '6px';
           li.style.padding = '4px 0';
+          const nameDisp = pmEscapeHtml(b.name || ('Block ' + (i + 1)));
+          const roleDisp = pmEscapeHtml(b.role || 'user');
           li.innerHTML = `
             <span class="pm-handle" style="cursor:grab;">☰</span>
             <input type="checkbox" class="pm-enabled" ${b.enabled !== false ? 'checked' : ''} title="enabled"/>
-            <span class="pm-name" style="flex:1">${(b.name || ('Block ' + (i + 1))).replace(/</g, '<')}</span>
-            <span class="pm-role" style="opacity:.8">${b.role || 'user'}</span>
+            <span class="pm-name" style="flex:1">${nameDisp}</span>
+            <span class="pm-role" style="opacity:.8">${roleDisp}</span>
             <button class="pm-edit" title="Редактировать">✎</button>
             <button class="pm-del" title="Удалить">🗑</button>
           `;