Nous avons une application Web qui est en cours de régénération massive de code et par conséquent les grands composants obtiennent une révision de sécurité. En tant que tel, nous avons des problèmes avec l'échappement double des entités html.implications de sécurité de l'entité javascript décoder puis encoder
par exemple:
Le problème provient de la chaîne i18n'd déjà html codé lorsqu'il est passé à notre widget toast - et le nouveau widget de pain grillé est à nouveau html codant pour les caractères.
La question est, ce qu'il ya des conséquences sur la sécurité de le faire (en code pseudo)
Entities.encode(Entities.decode(string));
pour contourner les doubles problèmes de codage alors que nous migrons le massif codebase? Y a-t-il des problèmes associés aux chaînes non codées passant d'abord par le décodage?
Vous ne savez pas exactement comment il pourrait y avoir des «implications sur la sécurité» si vous composez le code? – guest271314
L'encodage des entités permet de rendre le HTML correctement. Cela n'a rien à voir avec la sécurité. – PHPglue
@ guest271314 car les messages peuvent contenir du contenu utilisateur – buggedcom