0
맞춤 Twig 기능에서 XSS를 피할 수있는 방법은 무엇입니까?커스텀 Twig 기능에서 XSS를 피하십시오?
class TwigExtension extends \Twig_Extension
{
public function getName()
{
return 'html_helpers';
}
public function getFunctions()
{
$options = array(
'is_safe' => array('html')
);
return array(
new \Twig_SimpleFunction('greating', array($this, 'greating'),$options)
);
}
public function greating($name)
{
return "Salut ".$name;
}
}
그리고 템플릿의 전화 :
이 고려 {{ greating("<script>alert('Sébastien')</script>") }}
는 그것은 JS 경고를 표시합니다. 어떻게 이것을 피할 수 있습니까?
문서가 충분하지 않습니까? http://twig.sensiolabs.org/doc/filters/escape.html에'| e'가 있습니까? – fluminis
@fluminis Twig에서 꽤 새로운 기능. 좋아, 할 수있어. '{{greating ("") | 이스케이프}}'어떻게 할 수 있습니까? – sdespont