0
我正在研究这篇文章:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet,并且我发现必须在属性值中转义的HTML实体与HTML内容不同。HTML属性中的字符实体
但我想知道起源,这是从一些HTML规范?我找不到它,有人能指点我吗?谢谢。
A
回答
0
这实际上更多的是DOM问题。但这里是一个跳转点 http://www.technicalinfo.net/papers/CSS.html
相关问题
- 1. 用XML属性中的实体替换字符
- 2. HTML和字符编码VS HTML实体
- 3. 在java属性文件中使用字符实体
- 4. Haskell:删除字符串中的html字符实体
- 5. html“lang”属性更改字体设置
- 6. HTML属性之间的有效字符
- 7. 字体属性
- 8. 如何将字符串中的HTML实体转换为HTML?
- 9. 转换为HTML字符串中的HTML实体
- 10. Symfony2如何不转义实体字段属性中使用的字符
- 11. Symfony 2覆盖实体字段属性
- 12. Hibernate的实体属性值
- 13. Vim中的斜体HTML属性
- 14. 覆盖实体框架实体属性
- 15. 法国字符到html实体
- 16. html实体/特殊字符解码
- 17. PHP - HTML实体/特殊字符混淆
- 18. CodedUI测试:识别html实体字符
- 19. iOS:显示HTML实体字符
- 20. C# - 匹配实体属性到字符串值
- 21. 实体中的相同属性到C中的字典#
- 22. 更改归属字符串的单个字体属性。
- 23. c#字符串作为html属性
- 24. 动态HTML字符串插值属性
- 25. 将字符串转换为html属性
- 26. 为html属性附加额外字符
- 27. 实体部分类中的属性
- 28. 在HTML中使用Angular渲染HTML实体字符串
- 29. 在title属性中不可能使用HTML实体吗?
- 30. 如何在CSS内容属性中使用html实体?
也许[我的回答* htmlspecialchars - 不同的转义属性相比其他所有?*](http://stackoverflow.com/a/24580477/53114)回答你的问题。 – Gumbo 2014-10-04 14:23:56
好吧,我现在明白了,属性值(双引号)的状态与数据状态没有太大的区别。而XSS预防备忘单规则#2并不意味着更多的字符必须在属性值状态中转义,这只是一个逃避更多字符的建议,因为很多人往往忘记为属性值添加引号。 – 2014-10-05 00:56:29