Underscore.js apiを調べていたところ、、、、、、、および文字が_.escapeエスケープ&さ<れ>ていることに気付きました。驚いたのは逃げること。"'//
/知らない文字をエスケープする理由はありますか?
10933 次
2 に答える
17
EDIT : どうやら、「HTML エンティティを終了するのに役立つ」ため、 OWASPによって推奨されているようです。
スクリプト、スタイル、またはイベント ハンドラーなどの実行コンテキストへの切り替えを防ぐために、HTML エンティティ エンコーディングで次の文字をエスケープします。仕様では、hex エンティティの使用が推奨されています。XML で重要な 5 文字 (&、<、>、"、') に加えて、HTML エンティティを終了するのに役立つスラッシュが含まれています。
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/ --> / forward slash is included as it helps end an HTML entity
于 2011-11-29T03:14:06.107 に答える