XSS атака в заголовке

Question

У меня есть форма, где пользователи могут заполнить новостную статью.Это содержит заголовок и тело.Чтобы каждая страница имела уникальный заголовок, я использую пользовательский ввод (заголовок) в <title> -tags:

<title>$userinput</title>

Мне интересно - может ли пользователь выполнитьXSS-атака таким образом?Должен ли я экранировать этот пользовательский ввод, используя htmlspecialchars?

То же самое относится и к <meta> -tags.Я использую пользовательский ввод для описания:

<meta name="description" content="$userinput" />

Может ли пользователь выполнять XSS-атаки в <title> и <meta> -tags?

Answer 1

Должен ли я выйти из этого пользовательского ввода с помощью htmlspecialchars?

Да.Расположение не имеет значения.Весь пользовательский ввод должен быть экранирован.

Рекомендации:

• Каковы оптимальные методы предотвращения атак xss на сайте PHP
• Какой метод лучше всего подходит дляочистить пользовательский ввод с помощью PHP?
• https://stackoverflow.com/questions/tagged/php+xss

Answer 2

Сначала он может закрыть любой тег:

</title><script> alert('here I am') </script>

Answer 3

Таким способом можно выполнить XSS-атаку.

Для начала я бы использовал htmlentities .Также вы можете рассмотреть HTML Purifier .Наконец, вы можете рассмотреть PHPIDS .Это было бы немного излишним для большинства ситуаций, хотя ...