1

ユーザーが生成した HTML をデータベースに渡し、悪意のあるコードが通過しないようにしています。私が行っている手順の 1 つは、渡されたコードを pear のHTML_Safeクラスを介して実行し、脆弱なマークアップを削除することです。ただし、私が気づいたことの 1 つはname、送信された要素の属性が削除されることです。案の定、ソース コードを見ると、nameデフォルトでブラックリストに登録されている数少ない属性の 1 つです。

http://pear.php.net/package/HTML_Safe/docs/latest/HTML_Safe/HTML_Safe.html#var$attributes

ユーザーが値を渡すことを許可することの危険性は何nameですか? name悪意のある目的のために価値をどのように使用できますか? 何かご意見は?そうでない場合は、ブラックリストを変更したくなります。

4

1 に答える 1