2
Необходимо ли фильтровать/исключать небезопасные переменные в <title> или другие теги в <head>, чтобы предотвратить XSS?Должен ли я использовать переменные htmlspecialchars() внутри <title></title>?
A
ответ
10
Строго говоря, необходимо htmlspecialchars() на абсолютно все вы выводите на веб-страницу с PHP.
Если вы достигли точки, где это приводит к неправильному результату (т. Е. HTML-код отображается в браузере из-за двойного кодирования), вы обнаружили дефект дизайна в своем приложении.
XSS не будет проблемой, если люди придерживаются этого простого правила.
3
Да. Вы должны всегда использовать функцию htmlspecialchars для значений, которые могут содержать специальные символы HTML.
Смежные вопросы
- 1. Должен ли я использовать htmlspecialchars?
- 2. htmlspecialchars преобразует <to >
- 3. Должен ли я использовать ENT_QUOTES с htmlspecialchars или не
- 4. Должен ли я использовать <section> теги внутри <aside>?
- 5. Должен ли я использовать <html>, <head> и <body> тег?
- 6. Должен ли я вставить номер <script> или должен ли я использовать?
- 7. Должен ли я вставить ползунок внутри метки <header>?
- 8. Когда я должен использовать <- in Prolog
- 9. Должен ли я использовать htmlspecialchars или mysql_real_escape_string или оба
- 10. Должен ли я использовать статические переменные внутри функции DLL?
- 11. Использовать << оператор внутри аргументов функции
- 12. Должен ли я использовать ThreadLocalRandom для ThreadLocal <Random>?
- 13. Должен ли я использовать <aside> для субтитров?
- 14. Должен ли я использовать <! [CDATA [...]]> в HTML5?
- 15. Должен ли я использовать массив или arraylist/list <>
- 16. Должен ли я повторно использовать переменные?
- 17. Почему я не должен использовать вектор <vector <vector<int> >>?
- 18. Могу ли я использовать IEnumerable <> внутри представления?
- 19. Почему я должен использовать <ARGV> или <> вместо <STDIN> в Perl?
- 20. Должен ли я использовать тег <a>? Могу ли я просто использовать .click()?
- 21. Как использовать htmlspecialchars внутри эхо
- 22. Могу ли я использовать для определения вызова оператора <<
- 23. Должен ли я использовать <field> вместо <input> теги для ввода?
- 24. Должен ли я использовать #include <string> у <iostream>?
- 25. Должен ли я использовать HTML <button> или <input>?
- 26. Должен ли я использовать <form> вместо <table> здесь?
- 27. Должен ли я использовать теги <figure> и <figcaption> для страницы сотрудников?
- 28. Должен ли я использовать Nullable <'a> или вариант <'a> в F #?
- 29. Можно ли использовать <? to <? php
- 30. Должен ли я использовать как HtmlEncode, так и JavaScriptStringEncode, если внутри HTML <script> тег?
Просто потому, что вы не знаете, как взломать что-то, не означает, что вы все равно не должны его дезинфицировать. Как заметил кто-то ниже, есть способ использовать XSS на своей веб-странице, всегда предполагайте, что есть способ и никогда не срезать углы на вашей проверке здравомыслия. – TravisO