Очевидно, что одним из основных способов защиты от вредоносного кода от пользователей является кодирование данных в html entities
; Однако как насчет при использовании данных на странице title
— поскольку заголовок страницы не преобразует объекты для отображения и &
будет отображаться буквально как &
вместо &
,
Мне интересно, какие методы вы можете использовать для очистки данных для использования в заголовках страниц? Я уже запускаю PHP
функция strip_tags
на данные, однако не уверены, если это должно быть достаточно защиты или я должен делать больше?
Все еще кодировать, но потом делать декодирование для определенных символов?
Редактировать: Скриншот строки заголовка Firefox ниже ..
Мой вклад:
<title>Testing 123 - & testing</title>
Источник:
<title>Testing 123 - &amp; testing </title>
Итак, глядя на это, если я правильно понимаю, что он дважды закодировал его, оставляя меня верить, что данные внутри заголовков автоматически кодируются и, таким образом, безопасно вставлять незакодированные данные внутри <title>
теги?
Я думаю, мое единственное беспокойство — это относится ко всем клиентам / браузерам? … или есть PHP
кодировать это автоматически?
Задача ещё не решена.
Других решений пока нет …