-
W3Q(ウェブサンキュー)
-
- 読み込み中...
gmK.yi2023年3月17日XSS 対策する必要がありますか? ってことだろ。自分で入れるんなら自分で気をつけろい。他者の入力を入れるなら HTML エスケープ(サニタイジング)する必要は大いにある。 -
返信の受付は終了いたしました。
-
-
- 読み込み中...
それだと、input type textはXSS対策必要だが、radioやcheckbox、select/optionはいらん、みたいな捉えられ方すると困るんだけど、
世の中にはデベロッパーツールいじったりPostmanでPOSTしてきたりする輩もいるので、HTMLにベタ書きされてるからと言って、その値のままPOSTされるとは限らん。
PHPのValitronというバリデーションパッケージには、規定の配列値にない入力はエラーにする、っていう設定もある。選択肢系はこういうオプションを使って、フロントとバックエンドで情報を共有しつつバリデーションかけた方が良い。 -