我正在浏览下划线.js api http://underscorejs.org/#escape我注意到_.escape
逃脱&
, <
, >
, "
, '
, and /
人物。让我惊讶的是逃跑/
.
有没有理由逃避/
我不知道的角色?
EDIT: 好吧,看来是推荐的OWASP https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#RULE_.231_-_HTML_Escape_Before_Inserting_Untrusted_Data_into_HTML_Element_Content因为它“帮助结束 HTML 实体”。
使用 HTML 实体编码转义以下字符以防止
切换到任何执行上下文,例如脚本、样式或事件
处理程序。规范中建议使用十六进制实体。此外
到 XML 中有效的 5 个字符(&、、"、'),向前
包含斜杠是因为它有助于结束 HTML 实体。
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/ --> / forward slash is included as it helps end an HTML entity
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)