标签: php security xss
是否有必要过滤/转义<title>中的不安全变量或<head>中的其他标记以阻止XSS?
<title>
<head>
答案 0 :(得分:10)
严格来说,有必要在上完成从{PHP>输出到网页的所有的htmlspecialchars()。
htmlspecialchars()
如果你出现错误的结果(即由于双重编码而在浏览器中显示HTML代码),你在应用程序中发现了一个设计缺陷。
答案 1 :(得分:3)
是。您应始终对可能包含HTML特殊字符的值使用htmlspecialchars函数。
htmlspecialchars