Bv2*_*202 3 html php security xss
我有一个表格,用户可以填写新闻文章.这包含标题和正文.对于每个具有唯一标题的页面,我在<title>-tags中使用用户输入(标题):
<title>$userinput</title>
我想知道 - 用户是否可以通过这种方式执行XSS攻击?我应该使用htmlspecialchars?来逃避此用户输入吗?
这同样适用于<meta>-tags.我正在使用用户输入进行描述:
<meta name="description" content="$userinput" />
用户可以执行跨站脚本攻击<title>和<meta>标签都有效?
我应该使用htmlspecialchars转义此用户输入吗?
是.位置无关紧要.应转义所有用户输入.
参考文献: