保护输出是转义输出数据的过程。 转义意味着剥离不必要的数据，如格式不正确的HTML或脚本标签。 无论何时渲染数据，请确保正确地释放数据。 转义输出可以防止XSS（跨站点脚本）攻击。 >[warning] 注意：跨站点脚本（XSS）是通常在Web应用程序中发现的一种计算机安全漏洞。 XSS使攻击者将客户端脚本注入由其他用户查看的网页。 攻击者可能会使用跨站点脚本漏洞绕过诸如同源策略的访问控制。 ## 逃避 转义有助于在为最终用户呈现数据之前保护您的数据。 WordPress有一些帮助功能，您可以用于大多数常见的场景。 - esc_html（） - 当HTML元素包含显示的数据部分时，可以使用此功能。 - esc_url（） - 对所有URL使用此功能，包括HTML元素的src和href属性中的URL。 - esc_js（） - 将此函数用于内联JavaScript。 - esc_attr（） - 将此函数用于打印到HTML元素属性中的所有内容。 >[warning] 警报：大多数WordPress功能正确准备数据进行输出，因此您不需要再次转义数据。 例如，您可以安全地调用the_title（）而不转义。 ## 随着本地化逃脱 而不是使用echo来输出数据，通常使用WordPress本地化函数，如`_e（）`或`__（）`。 这些函数只是将定位函数包含在转义函数中： ``` esc_html_e( 'Hello World', 'text_domain' ); // same as echo esc_html( __( 'Hello World', 'text_domain' ) ); ``` 这些帮助函数结合本地化和转义： - esc_html__() - esc_html_e() - esc_html_x() - esc_attr__() - esc_attr_e() - esc_attr_x() ## 自定义转义 在需要以特定方式转义输出的情况下，函数wp_kses（）（发音为“kisses”）将派上用场。 此功能确保只有指定的HTML元素，属性和属性值才会在输出中出现，并对HTML实体进行规范化。 ``` $allowed_html = [ 'a' => [ 'href' => [], 'title' => [], ], 'br' => [], 'em' => [], 'strong' => [], ]; echo wp_kses( $custom_content, $allowed_html ); ``` wp_kses_post（）是wp_kses的包装函数，其中$ allowed_html是一组由帖子内容使用的规则。 ``` echo wp_kses_post( $post_content ); ```