HTML:我应该编码大于或不大吗？(>>)

Question

在编码可能不安全的数据时,是否有编码的理由>？

• 它验证两种方式.
• 在浏览器解释的相同的任何一种方式,(在的情况下attr="data",attr='data',<tag>data</tag>)

我认为有人会这样做的原因是

• 简化基于正则表达式的标记删除.<[^>]+>?(罕见)
• 非引用字符串attr=data.:-o(没发生!)
• 代码中的美学.(所以呢？)

我错过了什么吗？

Answer 1

严格来说,为了防止HTML注入,您只需编码<为<.

如果要将用户输入放在属性中,也要编码"为".

如果你正确地做事并使用正确引用的属性,你不必担心>.但是,如果你不确定这一点,你应该编码它只是为了安心 - 它不会造成任何伤害.

Answer 2

在HTML4在其第5.3.2节规范指出,

作者应>在文本中使用" "(ASCII十进制62)而不是">"

所以我相信你应该将更大的>符号编码为>(因为你应该遵守标准).

Answer 3

当前浏览器的 HTML 解析器对 uquoted >s没有问题

然而，不幸的是，在 JS 中使用正则表达式“解析” HTML 是很常见的。（例如：Ext.util.Format.stripTags）。此外，编写不当的命令行工具、IDE 或 Java 类等可能不够复杂，无法确定开始标记的限制器。

所以，你可能会遇到这样的代码问题：

<script data-usercontent=">malicious();//"></script>

（注意语法高亮是如何处理这个片段的！）