大規模なコード再生成が進行中であるため、大規模なコンポーネントがセキュリティオーバーホールを受けているWebアプリケーションがあります。そのため、私たちはhtmlエンティティの二重エスケープに関する問題を抱えています。例えばjavascriptエンティティデコードのセキュリティへの影響次にエンコード
:
問題はすでに我々トーストウィジェットに渡されるときにエンコードされたHTMLの中のi18n'd文字列から生じる - と新しいトーストウィジェットは再びHTMLを文字をエンコードしています。
の質問は、これを行うのいずれかのセキュリティへの影響は、我々は大規模なコードベースを移行しながら、二重エンコードの問題を回避するために
Entities.encode(Entities.decode(string));
(擬似コードで)があるのですか?デコードを最初に通過するエンコードされていない文字列に関連する問題はありますか?
コードを作成している場合、どのように「セキュリティの影響」がありますか? – guest271314
エンティティエンコードは、HTMLが正しくレンダリングされるようにします。それはセキュリティとは関係ありません。 – PHPglue
@ guest271314メッセージにユーザーのコンテンツが含まれている可能性があります。 – buggedcom