您需要转义硬编码的纯文本吗?

时间:2016-01-21 作者:DesVal

我开始玩下划线初学者主题,并注意到它使用esc_html_e() 即使是纯文本:

<a class="skip-link" href="#content"><?php esc_html_e( \'Skip to content\', \'_s\' ); ?></a>
不这样逃避是否存在安全风险:

<a class="skip-link" href="#content">Skip to content</a>
。。。还是仅仅为了翻译?

谢谢

1 个回复
最合适的回答,由SO网友:obstschale 整理而成

这里的安全风险不是关于纯文本,而是关于翻译。你应该注意到esc_html_e 不仅是用于转义HTML的函数,还用于本地化(l10n)。一、 其他人可以翻译这个字符串,但你不知道翻译是什么。可能有人翻译字符串并添加链接或恶意HTML。因此,在这种情况下,最好是转义HTML。

标签: security   html   translation   escaping   小码农  

相关推荐

为什么WordPress剥离了作为表单元素和主题SVG图标的自定义HTML?

当我添加一个只包含表单元素(例如表单、输入、文本区域等)的自定义HTML块时,WordPress似乎正在全面剥离这些元素。类似地,如果我添加一个SVG图标作为主题的一部分,例如GeneratePress,WordPress似乎也会删除这个图标。为什么WordPress要过滤这些内容,我有什么解决方案/选项?