ユーザー入力した値をもとに処理して表示するときには、JavaScriptなどの悪意のあるスクリプトを実行できないように htmlspecialchars を通してエスケープする必要があるということは理解しております。
ユーザー入力は伴わず、単純に API で JSON を取得して表示するときにも htmlspecialchars を通す必要はあるのでしょうか?
通す理由を考えてみましたが、あるとすれば、JSON を返すAPI側に脆弱性やクラッキングなどがあり、JSONとして返す値に悪意のあるスクリプトを埋め込まれてしまうときに、htmlspecialchars を通しておけばスクリプトが実行されないということかなと、浅い知識なりに思いました。
htmlspecialchars を通す必要があるなら、その理由を教えてくださいm(__)m
回答4件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/02/01 07:25