Il titolo dice quasi tutto. Sembra controproducente sfuggire all'interno di un blocco <noscript> perché qualsiasi j che un utente malintenzionato è in grado di immettere non dovrebbe essere eseguito. Ma, sono ancora abbastanza nuovo in questo, quindi ho pensato che sarebbe stato prudente chiedere.
Per chiarezza, questo è il contesto di cui sto parlando:
<noscript>
<img src="<?php echo 'Should I escape this url' ?>" />
</noscript>
Sì. Dovresti sempre sfuggire a dati non fidati. Ecco un attacco per il tuo snippet (pseudocodice):
<noscript>
<img src="<?php echo 'you should always escape everything,
dependeing on the context. This context is url in an attribute,
you should escape it appropriately. otherwise " />
</noscript>
<script>alert("you will be vulnerable")</script><noscript><img "' ?>" />
</noscript>
Leggi altre domande sui tag html xss attack-prevention