<div dir="ltr">I'd prefer to see it as recommended, with a core patch to return escaped output.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 19, 2013 at 3:36 PM, Otto <span dir="ltr"><<a href="mailto:otto@ottodestruct.com" target="_blank">otto@ottodestruct.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Wed, Jun 19, 2013 at 2:24 PM, Chip Bennett <<a href="mailto:chip@chipbennett.net">chip@chipbennett.net</a>> wrote:<br>

> Otto, I agree, but if it is something that is outside the Theme's control,<br>
> shouldn't it be incumbent upon core (which provides the related filter) to<br>
> escape the output?<br>
<br>
</div>I can see arguments for both sides of that one. Escaping immediately<br>
before output is safest. Late-escaping, basically.<br>
<br>
If you examine the core code currently (trunk), in all of the places I<br>
spot checked, when core uses home_url(), it runs it through esc_url()<br>
before outputting it. This is also the case for things like<br>
admin_url() and such.<br>
<br>
Twenty-eleven, twelve, and thirteen all esc_url( home_url() ).<br>
Twenty-ten notably did not.<br>
<br>
I would class it as recommended, possibly to move to required in a<br>
version or so?<br>
<span class="HOEnZb"><font color="#888888"><br>
-Otto<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
theme-reviewers mailing list<br>
<a href="mailto:theme-reviewers@lists.wordpress.org">theme-reviewers@lists.wordpress.org</a><br>
<a href="http://lists.wordpress.org/mailman/listinfo/theme-reviewers" target="_blank">http://lists.wordpress.org/mailman/listinfo/theme-reviewers</a><br>
</div></div></blockquote></div><br></div>