Vlákno názorů k článku
Nette Framework: Chytré šablony

Escapování závislé na kontextu je chytré (a v Nette elegantně implementované), opsal to dokonce už i Google :-).

Pro úplnost bych dodal, že automatické escapování funguje jen v kontextu HTML textu, HTML atributu uzavřeného do uvozovek nebo apostrofů, CSS ve značce <style> a JavaScriptu ve značce <script>. Pokud by nějakého blouda napadlo uživatelský vstup použít třeba na místě názvu HTML značky, tak to fungovat nebude, stejně tak nebude fungovat JS a CSS ošetřování uvnitř atributů style a on* (to už by smysl dávat mohlo, ale lepší je to vyčlenit mimo HTML kód).

To je dobrá poznámka a váhám, jestli podporu pro style="..." a on*="..." přidat. Asi přidám.

(S tím Googlem jsi mě dostal. Takže nejenom Microsoft kopíruje Nette ;-)

Byla to makačka ale je to tam ;)

Ještě jsem to trochu upravil. Jednak to nebylo HTML kompatibilní kvůli case-sensitivitě atributů a jednak se to nechalo chytit na známý chyták <p title=">">, kde > uvnitř ohraničené hodnoty atributu neukončuje značku.

Díky, teď se může jít Google klouzat ;))

ps. Taky bych se šel klouzat. Kde se dá jít v tuhle roční dobu klouzat?