Comment échapper correctement aux guillemets dans les attributs HTML?

Si vous utilisez PHP, essayez d’appeler la fonction htmlentities ou htmlspecialchars .

Par syntaxe HTML , et même HTML5 , les options suivantes sont toutes valides:

<option value="&quot;asd">test</option>
<option value="&#34;asd">test</option>
<option value='"asd'>test</option>
<option value='&quot;asd'>test</option>
<option value='&#34;asd'>test</option>
<option value=&quot;asd>test</option>
<option value=&#34;asd>test</option>

Notez que si vous utilisez syntaxe XML , les guillemets (simples ou doubles) sont obligatoires.

Voici un jsfiddle montrant tout ce qui précède fonctionne .

Une autre option consiste à remplacer les guillemets doubles par des guillemets simples si cela ne vous dérange pas. Mais je ne mentionne pas celui-ci:

<option value='"asd'>test</option>

Je mentionne celui-ci:

<option value="'asd">test</option>

Dans mon cas, j'ai utilisé cette solution.

Vous ne devriez autoriser que les données non fiables dans une liste blanche de bons attributs tels que: aligner, alink, alt, bgcolor, bordure, cellpadding, cellpacing, classe, couleur, cols, colspan, coords, dir, face, hauteur, hspace, ismap, lang marginheight, marginwidth, multiple, nohref, noresize, noshade, nowrap, ref, rel, rev, rangs, rowspan, défilement, forme, étendue, récapitulatif, tabindex, titre, usemap, valign, valeur, vlink, vspace, largeur

Vous voulez vraiment garder les données non fiables à l'écart des gestionnaires javascript ainsi que des attributs id ou name (ils peuvent masquer d'autres éléments dans le DOM).

De même, si vous insérez des données non fiables dans un attribut SRC ou HREF, il s'agit en réalité d'une URL non fiable. Vous devez donc valider l'URL, assurez-vous qu'il N'EST PAS une javascript: URL, puis un encodage d'entité HTML.

Plus de détails sur tous les éléments ici: https://www.owasp.org/index.php/Abridged_XSS_Prevention_Cheat_Sheet