|
Цитата:
|
с экранированием понятно, но что делать в заковыристых случаях?
<img src=LOL onerror=alert('XSS')>
|
Чёто я не понял, что здесь не обычного с чем не справится экранирование?
{template foo(val)}
<img src="{val}" />
{/}
foo('" onerror="alert(\'XSS\')') // всё будет проэкранировано и onerror не будет работать
|
Цитата:
|
{template ЗАНУДА()}
и от XSS в картинках шаблон не защитит ... нужно самому их перелопачивать.
{/template}
|
Гм.. приведи пример, я не понял
