Должен ли я htmlspecialchars () переменные внутри <title></title>?

Question

Необходимо ли фильтровать / экранировать небезопасные переменные в <title> или другие теги в <head> для предотвращения XSS?

Answer 1

Строго говоря, нужно htmlspecialchars() на делать абсолютно все вывод на веб-страницу из PHP.

Если вы дошли до того, что это приводит к неправильному результату (т. Е. HTML-код отображается в браузере из-за двойной кодировки), вы обнаружили ошибку в своем приложении.

XSS не будет проблемой, если люди будут придерживаться этого простого правила.

Answer 2

Да. Вы должны всегда использовать функцию htmlspecialchars для значений, которые могут содержать специальные символы HTML.