OWASP では、特に HTML 属性をエンコードするために別のエンコード方法を使用することを推奨していることに気付きました。ASP.NET MVC には、特に属性をエンコードするためのヘルパー メソッドがあります。
ただし、HTML でエンコードされた文字列が HTML 属性のコンテキストで機能しないという状況は考えられませんでした。標準の HTML エンコーディングを使用すると不十分または正しくない場合はありますか? そうでない場合、これらの追加のメソッドが一部のフレームワークで提供されているのはなぜですか?
(すべての文字列エスケープ フレームワークがそのようなメソッドを提供しているわけではないことに注意してください。)