这五个字符OWASP建议逃生避免XSS注射是 &,<,>,",'。
&
<
>
"
'
在它们当中,我无法理解为什么&(&)应该被转义,以及如何将其用作注入脚本的向量。可以举一个例子,其他所有四个已转义的字符而不是&符,因此将存在XSS注入漏洞。
我已经检查了另一个问题,但是这个答案确实并没有使事情变得更清晰。
security xss escaping
escaping ×1
security ×1
xss ×1