I h Есть некоторый пользовательский ввод. В моем коде я гарантирую, что следующие символы экранированы:
& -> &
< -> <
> -> >
OWASP утверждает, что есть еще символы, которые нужно экранировать.
Для атрибутов я использую другой вид экранирования:
& -> &
" -> "
Это гарантирует, что все атрибуты заключены в ". Это дает мне уверенность в моих html-атрибутах, но не в самом HTML.
Интересно, могу ли я использовать экранирование. Я прочитал этот пост , но все еще не уверен, что меня беспокоит.
(JavaScripts экранируются с помощью библиотеки OWASP)