Читая шпаргалку по предотвращению XSS (межсайтовый скриптинг), я осведомлены о том, что такое экранирование с учетом контекста.
В некоторых других своих проектах я использовал Zend_Escaper, но мне интересно, достаточно ли этого для использования htmlspecialchars()
для предотвращения XSS, если я включил политику безопасности контента без разрешения _ 2_ для JavaScript (скрипт) и CSS (стиль). На мой взгляд, это избавляет от контекстов JS и CSS внутри самого файла PHP.
Предположим, мне не нужно выводить ненадежные данные HTML, только данные в HTML и в атрибутах HTML.
Мне бы очень хотелось держаться подальше от таких фреймворков для создания шаблонов, как Twig и Smarty.