ADR-005: Безопасность шаблонов
Принято
Контекст
Заголовок раздела «Контекст»Шаблоны могут содержать динамическое содержимое, которое может быть уязвимо для XSS-атак.
Решение
Заголовок раздела «Решение»Использовать Smarty фильтры и экранирование для всех переменных шаблонов по умолчанию.
Обоснование
Заголовок раздела «Обоснование»- Защита от XSS
- Безопасность данных пользователя
- Аутоматическая санитизация
- Лучший контроль доступа
Реализация
Заголовок раздела «Реализация»{* Переменные автоматически экранируются *}{$user_input}
{* Для сырого вывода используйте явный фильтр *}{$html_content nofilter}Практики
Заголовок раздела «Практики»- Всегда экранируйте пользовательский ввод
- Используйте фильтры для специальных типов данных
- Проверяйте содержимое шаблонов
Безопасность шаблонов предотвращает уязвимости в представлении данных.