ユーザーが生成した HTML をデータベースに渡し、悪意のあるコードが通過しないようにしています。私が行っている手順の 1 つは、渡されたコードを pear のHTML_Safeクラスを介して実行し、脆弱なマークアップを削除することです。ただし、私が気づいたことの 1 つはname
、送信された要素の属性が削除されることです。案の定、ソース コードを見ると、name
デフォルトでブラックリストに登録されている数少ない属性の 1 つです。
http://pear.php.net/package/HTML_Safe/docs/latest/HTML_Safe/HTML_Safe.html#var$attributes
ユーザーが値を渡すことを許可することの危険性は何name
ですか? name
悪意のある目的のために価値をどのように使用できますか? 何かご意見は?そうでない場合は、ブラックリストを変更したくなります。