0
我正在研究这篇文章:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet,并且我发现必须在属性值中转义的HTML实体与HTML内容不同。HTML属性中的字符实体
但我想知道起源,这是从一些HTML规范?我找不到它,有人能指点我吗?谢谢。
我正在研究这篇文章:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet,并且我发现必须在属性值中转义的HTML实体与HTML内容不同。HTML属性中的字符实体
但我想知道起源,这是从一些HTML规范?我找不到它,有人能指点我吗?谢谢。
这实际上更多的是DOM问题。但这里是一个跳转点 http://www.technicalinfo.net/papers/CSS.html
也许[我的回答* htmlspecialchars - 不同的转义属性相比其他所有?*](http://stackoverflow.com/a/24580477/53114)回答你的问题。 – Gumbo 2014-10-04 14:23:56
好吧,我现在明白了,属性值(双引号)的状态与数据状态没有太大的区别。而XSS预防备忘单规则#2并不意味着更多的字符必须在属性值状态中转义,这只是一个逃避更多字符的建议,因为很多人往往忘记为属性值添加引号。 – 2014-10-05 00:56:29