balibali https://blog.hatena.ne.jp/balibali/ バリバリ日記 https://balibali.hatenadiary.org/ 技術 symfony 公式のドキュメント読みつつ sfForm を試しているのですが、何も考えずに使うとまずそうなのでメモ。http://www.symfony-project.org/book/forms/1_1/en/02-Form-Validationここの例に書いてあるようにテンプレートファイルで、 <?php echo $form ?> と書いておくと、フォームフィールドと同時にバリデーションのエラーメッセージも自動的に出力してくれるのですが、そのエラーメッセージがエスケープされないのでこのままだとXSS脆弱になってしまうっぽい。 all: .settings: escaping_strategy: tr… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fbalibali.hatenadiary.org%2Fentry%2F20080726%2F1217073269" title="sfFormのバリデーションエラーメッセージがエスケープされない - バリバリ日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2008-07-26 20:54:29 rich https://balibali.hatenadiary.org/entry/20080726/1217073269 1.0 100%