HTMLに対してどこまでをエスケープ処理の対象にすればよいでしょうか。
例えば下記のようなHTMLに対してはどうでしょうか。
トークンの値は当然として、optionタグのvalue属性値や要素内容もエスケープするべきでしょうか?
HTML
1<div id="sendmail"> 2 <form id="form" action="" method="post"> 3 <input id="saddress" type="text" name="address" placeholder="あなたのメールアドレス" maxlength="256"><br> 4 <select id="option" name="option"> 5 <option value="bug">バグ報告</option> 6 <option value="opinion_reqest">ご意見・ご要望</option> 7 <option value="other">その他</option> 8 </select><br> 9 <textarea id="text" name="sendmail_text" rows="8" cols="40" placeholder="送信内容" maxlength="500"></textarea><br> 10 <input id="token" type="hidden" name="sendmail_token" value=""> 11 <input id="post" type="submit" name="sendmail_post" value="内容確認"> 12 </form> 13 </div>
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。