它们是否与XML相同,也许还要加上空格( )?我发现了一些巨大的HTML转义字符列表,但我认为它们必须不转义。我想知道需要逃避什么。
3 回答
小唯快跑啊
TA贡献1863条经验 获得超2个赞
这取决于上下文。HTML中的一些可能的上下文:
文件主体
内部共有属性
内部脚本标签
内部样式标签
还有几个!
请参阅OWASP的跨站点脚本防护备忘单,尤其是“ 为什么我不能仅HTML实体编码不受信任的数据? ”和“ XSS防护规则 ”部分。但是,最好阅读整个文档。
- 3 回答
- 0 关注
- 320 浏览
相关问题推荐
添加回答
举报
0/150
提交
取消