保护输出是转义输出数据的过程。
转义意味着剥离不必要的数据,如格式不正确的HTML或脚本标签。无论何时渲染数据,请确保正确地释放数据。 转义输出可以防止XSS(跨站点脚本)攻击。
注意:跨站点脚本(XSS)是通常在Web应用程序中发现的一种计算机安全漏洞。 XSS使攻击者将客户端脚本注入由其他用户查看的网页。 攻击者可能会使用跨站点脚本漏洞绕过诸如同源策略的访问控制。
逃避
转义有助于在为最终用户呈现数据之前保护您的数据。 WordPress有一些帮助功能,您可以用于大多数常见的场景。
- esc_html() - 当HTML元素包含显示的数据部分时,可以使用此功能。
- esc_url() - 对所有URL使用此功能,包括HTML元素的src和href属性中的URL。
- esc_js() - 将此函数用于内联JavaScript。
- esc_attr() - 将此函数用于打印到HTML元素属性中的所有内容。
警报:大多数WordPress功能正确准备数据进行输出,因此您不需要再次转义数据。 例如,您可以安全地调用
the_title()而不转义。
随着本地化逃脱
而不是使用echo来输出数据,通常使用WordPress本地化函数,如_e()或__()。
这些函数只是将定位函数包含在转义函数中:
esc_html_e( 'Hello World', 'text_domain' );
// same as
echo esc_html( __( 'Hello World', 'text_domain' ) );
这些帮助函数结合本地化和转义:
- esc_html__()
- esc_html_e()
- esc_html_x()
- esc_attr__()
- esc_attr_e()
- esc_attr_x()
自定义转义
在需要以特定方式转义输出的情况下,函数 wp_kses() (发音为“kisses”)将派上用场。
此功能确保只有指定的HTML元素,属性和属性值才会在输出中出现,并对HTML实体进行规范化。
$allowed_html = [
'a' => [
'href' => [],
'title' => [],
],
'br' => [],
'em' => [],
'strong' => [],
];
echo wp_kses( $custom_content, $allowed_html );
wp_kses_post() 是wp_kses的包装函数,其中 $ allowed_html 是一组由帖子内容使用的规则。
echo wp_kses_post( $post_content );
下一节:为了安全起见,生成用于验证请求的起源和意图的生成数字。 每个随机数只能使用一次。