У меня есть пользовательский ввод. Внутри моего кода я гарантирую, что следующие позы побегут:
& -> &
< -> <
> -> >
В OWASP Я читал, что есть больше символов, которые нужно избегать.
Для атрибутов я делаю другой вид экранирования:
& -> &
" -> "
Обеспечивается, что все атрибуты заключены в ". Это делает меня уверенным в моих html-атрибутах, но не о самом HTML.
Интересно, если моего побега достаточно. Я прочитал этот пост, но я до сих пор не уверен в своей заботе.
(JavaScripts экранируются с помощью OWASP-библиотеки)