zzz*_*Bov 10 html-escape underscore.js
我一直在寻找通过Underscore.js API和我注意到_.escape逃脱&,<,>,",',和/字符.让我感到惊讶的是逃避/.
是否有理由逃避/我不知道的角色?
Che*_*try 16
编辑:好吧,显然,它是由OWASP推荐的,因为它"有助于结束HTML实体".
使用HTML实体编码转义以下字符,以防止切换到任何执行上下文,例如脚本,样式或事件处理程序.规范中建议使用十六进制实体.除了XML中的5个重要字符(&,<,>,",")之外,还包含正斜杠,因为它有助于结束HTML实体.
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/ --> / forward slash is included as it helps end an HTML entity