0
我正在研究這篇文章:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet,並且我發現必須在屬性值中轉義的HTML實體與HTML內容不同。HTML屬性中的字符實體
但我想知道起源,這是從一些HTML規範?我找不到它,有人能指點我嗎?謝謝。
A
回答
0
這實際上更多的是DOM問題。但這裏是一個跳轉點 http://www.technicalinfo.net/papers/CSS.html
相關問題
- 1. 實體中的更新字段(屬性)
- 2. R中的HTML字符實體替換
- 3. str_replace()html實體字符
- 4. 用XML屬性中的實體替換字符
- 5. HTML和字符編碼VS HTML實體
- 6. 在java屬性文件中使用字符實體
- 7. Haskell:刪除字符串中的html字符實體
- 8. GreenDao實體屬性
- 9. 檢查實體框架中實體屬性的唯一性
- 10. html「lang」屬性更改字體設置
- 11. HTML屬性之間的有效字符
- 12. 使用連字符的HTML屬性
- 13. 開放式實體上屬性的合法字符
- 14. 字體屬性
- 15. 根據實體屬性列表設置單個實體屬性
- 16. Hibernate的實體屬性值
- 17. Symfony 2覆蓋實體字段屬性
- 18. 如何在Rails的「content_tag」屬性中使用HTML實體?
- 19. Symfony2如何不轉義實體字段屬性中使用的字符
- 20. 轉換爲HTML字符串中的HTML實體
- 21. 如何將字符串中的HTML實體轉換爲HTML?
- 22. Vim中的斜體HTML屬性
- 23. 覆蓋實體框架實體屬性
- 24. 法國字符到html實體
- 25. XML到HTML:字符實體編碼
- 26. PHP - HTML實體/特殊字符混淆
- 27. html實體/特殊字符解碼
- 28. HTML實體解碼爲特殊字符
- 29. 轉換所有字符爲HTML實體
- 30. CodedUI測試:識別html實體字符
也許[我的回答* htmlspecialchars - 不同的轉義屬性相比其他所有?*](http://stackoverflow.com/a/24580477/53114)回答你的問題。 – Gumbo 2014-10-04 14:23:56
好吧,我現在明白了,屬性值(雙引號)的狀態與數據狀態沒有太大的區別。而XSS預防備忘單規則#2並不意味着更多的字符必須在屬性值狀態中轉義,這只是一個逃避更多字符的建議,因爲很多人往往忘記爲屬性值添加引號。 – 2014-10-05 00:56:29