que estaba buscando a través de la Underscore.js api y me di cuenta de que _.escape escapa &, <, >, ", ' y / caracteres. Lo que me sorprendió fue escapar /.¿por qué _ escape modifica/caracteres en Underscore.js?
¿Hay alguna razón para escapar / caracteres que no conozco?
EDIT: De acuerdo, aparentemente, es recomendado por OWASP ya que "ayuda a terminar una entidad HTML".
escapar de los siguientes personajes con entidad HTML codificación para evitar conmutación en cualquier contexto de ejecución, tales como la escritura, estilo, o evento manipuladores. El uso de entidades hexadecimales se recomienda en la especificación. Además a los 5 caracteres significativos en XML (&, <,>,", '), el delantero barra se incluye como ayuda para poner fin a una entidad HTML.
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/--> / forward slash is included as it helps end an HTML entity
no cambia '/' to '\ /' lo cambia a '/'. Además, '' se cambiará a '</script >', lo que no sería un problema. – zzzzBov
Correcto. Me referí por error al escape de JSON. –
@zzzzBov: Actualicé la respuesta con la cita. Lo encontré yo mismo ahora. –