私は自分の寄付フォームが XSS から安全であるかどうかについて、非常に神経質になっています (XSS に関する記事を読みすぎたのかもしれません)。PayPal が提供するボタン ジェネレーターを使用してページに挿入しましたが、name 属性 (PayPal の html 値の 1 つ) として 'item_name' 値を持つ select 要素も追加しました。
つまり、このように:
<select name="item_name">
<option>...</option>
...
</select>
私の最初の懸念は、寄付ボタンを保存済みボタンとしてアカウントに保存していて、PayPal は、提供されたコードを変更せずにページに「そのまま」配置するように指示しているため、それで問題ないかどうかです。私はそれが自明であることを知っていますが、それは単なる生意気な選択要素であり、ユーザーエクスペリエンスを向上させます:P. それは大丈夫ですか?
私が尋ねたいもう1つの質問は、PayPalが私に与えたフォームのaction属性を、htmlspecialchars()を使用して選択要素の値をサニタイズするコントローラーの関数を指すようにする必要があるかどうかです(そのような選択要素をチェックすることさえ必要ですか?目的?)、そしてその関数でどうにかして PayPal の URL を指し示していますか?
私の Web サイトには、XSS フィルタリングを適用するメールフォーム以外に他のフォームはありませんが、この PayPal フォームは、どのように保護する必要があるかについて混乱しています。