• 返信先: @RkhZqSさん XSS 対策する必要がありますか? ってことだろ。自分で入れるんなら自分で気をつけろい。他者の入力を入れるなら HTML エスケープ(サニタイジング)する必要は大いにある。
返信の受付は終了いたしました。
  • 返信先: @gmK.yiさん それだと、input type textはXSS対策必要だが、radioやcheckbox、select/optionはいらん、みたいな捉えられ方すると困るんだけど、
    世の中にはデベロッパーツールいじったりPostmanでPOSTしてきたりする輩もいるので、HTMLにベタ書きされてるからと言って、その値のままPOSTされるとは限らん。
    PHPのValitronというバリデーションパッケージには、規定の配列値にない入力はエラーにする、っていう設定もある。選択肢系はこういうオプションを使って、フロントとバックエンドで情報を共有しつつバリデーションかけた方が良い。