yutadayo's diary

yutadayo の日記

symfonyはXSS対策をしてくれる。

symfonは自動で変数をエスケープしてくれる。

htmlspecialchars等を使って
DBから情報を出力する際にエスケープすることは
プログラムを書くときに気をつけるべき点です。

symfony
apps/frontend/config/settings.yml
に記載されている下記の
escaping_strategyをonにしescaping_methodを指定すると
symfonyが自動でエスケープをしてくれます。

all:
  .settings
   # Output escaping settings
   escaping_strategy: on 
     # Determines how variables are made available to templates. Accepted values: on,off.

   escaping_method: ESC_SPECIALCHARS 
     # Function or helper used for escaping. Accepted values: ESC_RAW, ESC_ENTITIES, ESC_JS, ESC_JS_NO_ENTITIES, and ESC_SPECIALCHARS.

しかし、symfonyに頼るか厳密に自分でエスケープ処理を施すかは自由です。