dongshi3818 2014-10-30 14:34
浏览 60
已采纳

在自定义Twig函数中避免使用XSS?

What is the riht way to escape XSS in custom Twig function?

Consider this :

class TwigExtension extends \Twig_Extension
{
    public function getName()
    {
        return 'html_helpers';
    }

    public function getFunctions()
    {
        $options = array(
            'is_safe' => array('html')
        );
        return array(
            new \Twig_SimpleFunction('greating', array($this, 'greating'),$options)
        );
    }

    public function greating($name)
    {
        return "Salut ".$name;
    }  
}

And the call in the template : {{ greating("<script>alert('Sébastien')</script>") }}

It will display the JS alert. How can I avoid this?

  • 写回答

1条回答 默认 最新

  • dongming6201 2014-10-31 00:40
    关注

    You could prevent scripts like that from getting put in by wrapping the name in htmlspecialchars just like the twig escape filter uses internally:

    public function greating($name)
{
    return "Salut ".htmlspecialchars($name);
}

    http://twig.sensiolabs.org/doc/filters/escape.html

    Internally, escape uses the PHP native htmlspecialchars function for the HTML escaping strategy.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • 如何在自定义树枝函数呈现内容? php symfony
    2014-07-18 12:39
    回答 2 已采纳 First it did not worked for me, because I was getting a circularReferenceException. I helped me wi
  • PHP for循环在Twig php
    2018-11-22 14:02
    回答 3 已采纳 after reading your dump , all it's ok i think you sould edit your code as below : {% if cate
  • Twig三元运算符使用引号 php
    2017-12-09 20:00
    回答 1 已采纳 try this <div{{ (id?' id="'~id~'"')|raw }}>my div1</div>
  • 在Yii框架使用PHP模板引擎Twig的例子
    2020-10-25 19:11
    Twig的集成和使用在Yii框架可能会遇到一些障碍,因为Twig不支持PHP语法,所以像Yii的Form视图部分代码在Twig不能直接使用。例如,一个典型的Yii表单代码块: ```php <?php $form=$this->beginWidget('...
  • 使用动态参数调用Twig函数 php
    2017-09-25 20:14
    回答 1 已采纳 To use vars inside your twig expression, you don't have to use the {{.}} syntax. Just write the pl
  • PHP foreach在foreach循环转向Twig php symfony
    2018-01-03 10:59
    回答 1 已采纳 Try using array_merge_recursive when merging the pieces array, as array_merge will override the ke
  • Symfony - 在onKernelRequest使用twig杀死会话 php symfony
    2019-06-02 11:35
    回答 2 已采纳 Found the solution - problem is the injection of the twig-environment in the constructor - without
  • lumen-twig:在 Lumen 微框架使用 twig 作为模板引擎
    2021-06-01 00:28
    要在 Lumen 使用 `lumen-twig`,首先需要通过 Composer 安装扩展库: ```bash composer require "nunomaduro/lumen-twig:^2.0" ``` 然后,在 `bootstrap/app.php` 文件注册服务提供者和别名: ```php $app->...
  • 如何在Twig包含语句? php symfony
    2016-02-26 12:20
    回答 2 已采纳 First, it's better to use the include function and not the tag ({{ include('pagination.html.twig,
  • 如何使用Twig的属性函数来访问嵌套对象属性 php symfony
    2019-05-15 15:41
    回答 3 已采纳 To expand on Nico's answer You could achieve this with the following snippet: main.twig {% impo
  • 如何在PHP注册twig扩展 php
    2016-11-01 16:03
    回答 1 已采纳 So what I figured out is is the following: When autoloading you do not need to require/include t
  • twig-bundle:Twig捆绑包提供在您的应用程序使用Twig的配置
    2021-02-05 18:08
    Twig Bundle是Symfony框架的一个重要组件,它为在Symfony应用程序使用Twig模板引擎提供了方便的集成。这个捆绑包允许开发者充分利用Twig的功能,同时简化了在PHP项目的模板管理。以下是对这个主题的详细解释:...
  • 在yii框架用法php模板引擎twig的例子_.docx
    2021-10-09 21:57
    集成完成后,你可以在Twig模板使用自定义的widget标签,例如: ```twig {% beginwidget 'CActiveForm' as form %} <span>login <li>{{ form.label('username') }} <li>{{ form.textField('username') }} <!...
  • TwigTwigPHP的灵活,快速和安全的模板语言
    2021-02-05 20:57
    // 在模板使用自定义过滤器 {{ value|myfilter }} ``` **6. 安全性** 为了防止XSS攻击,Twig提供了自动转义机制,确保输出的数据被正确转义。当然,也可以根据需要关闭或开启特定变量的转义: ```twig {{ ...
  • 探索Twig:优雅、灵活的PHP模板引擎
    2024-06-22 21:43
    繁依Fanyi的博客 在现代的 Web 开发,模板引擎是一种常见的工具,用于将应用程序的逻辑和视图分离开来,使得开发过程更加清晰和高效。PHP Twig 是一种流行的模板引擎,它为 PHP 开发者提供了一个强大而灵活的工具,用于构建动态的...
  • PHP源代码的音乐课注册系统.zip
    2022-06-29 01:05
    开发者可能使用了`filter_var`函数自定义函数来进行数据过滤和验证。 4. **会话管理**:为了保持用户状态,系统会使用PHP的session机制。用户登录后,服务器会生成一个唯一的session ID,存储用户的登录信息,...
  • Twig扩展名:Twig扩展名
    2021-02-05 18:10
    2. **函数(Functions)**:函数在模板作为独立的表达式出现,返回值可以在模板使用。例如,`asset()` 是一个内置函数,用于获取应用的资源路径。自定义函数可以通过实现`Twig_Function`接口或使用`twig_...
  • PHP程序员常见的40个陋习,你了几个?
    2020-12-19 02:48
    39. 不使用或选择陌生模板引擎:使用Twig,提高模板开发效率。 40. 不研究框架:学习框架如Laravel,吸收先进理念和实践。 改善这些陋习能显著提升PHP程序员的编程水平和代码质量,对于团队协作和项目维护具有...
  • twigstem-core:Twigstem-使用Twig模板快速制作原型
    2021-03-19 13:25
    这可以通过创建一个PHP数组或对象,然后在模板使用`{{ variable }}`语法访问。例如,你可以定义一个`posts`数组,然后在模板显示每个帖子的标题和内容。 4. **控制结构**:Twig提供了多种控制结构,如`for`循环...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 乌班图ip地址配置及远程SSH
  • ¥15 怎么让点阵屏显示静态爱心,用keiluVision5写出让点阵屏显示静态爱心的代码,越快越好
  • ¥15 PSPICE制作一个加法器
  • ¥15 javaweb项目无法正常跳转
  • ¥15 VMBox虚拟机无法访问
  • ¥15 skd显示找不到头文件
  • ¥15 机器视觉中图片中长度与真实长度的关系
  • ¥15 fastreport table 怎么只让每页的最下面和最顶部有横线
  • ¥15 java 的protected权限 ,问题在注释里
  • ¥15 这个是哪里有问题啊?