クロスサイトスクリプティング（XSS）を除外するための優れたライブラリがCPANにありますか？

Question

CPANには、xssのようなすべての悪いことのテキストフィールドを除外するための優れたライブラリがありますか？

Answer 1

最初のステップは、常に結果を検索して閲覧することです。 潜在的なヒットの数があるようです。何か新しいものを探しているときは、検索結果を参照し、モジュールのドキュメントをチェックして、それらがどれほど明確であり、APIがどれだけうまく構築されているかを確認します。また、レビューを探して（ある人は持っている、そうでない-しばしばランダムです）、バグをチェックします。それは私が何を扱っているかの感覚を与えてくれます。

質問が<！> quot;これらのさまざまなオプションのどれが最良か？<！> quot;の場合、この場合はわかりません。 （私の最初の答えは一般的すぎるかもしれません。）

CPANの検索を開始するのに適した2つの場所：

• CPANを検索
• 神戸の検索

Answer 2

基本レベルでは HTML :: Entities が必要ですが、選択したエスケープDOMのどこで値を使用しているかによって異なります。たとえば、<script>タグ内に貼り付けた場合、ユーザー入力をHTMLエンティティでエンコードしてもまったく役に立ちません。

HTMLの生成に何らかのテンプレートを使用している可能性が高いため、コンテンツをエスケープするメソッドが必要です。HTML::Masonは<% $thing |h %>、Template::Toolkitは[% thing | html %] ...独自のコードで実行している場合は、encode_entitiesを自分で呼び出す必要があります。