Tengo un poco de entrada de usuario. Dentro de mi código que garantizará que la siguiente canta hayan escapado:HTML-Entidad de escape para evitar XSS
& -> &
< -> <
> -> >
En OWASP leo, que hay más caracteres con formato de escape.
Para los atributos que hago otro tipo de escape:.
& -> &
" -> "
Se garantiza, que todos los atributos están encerrados por" Esto me hace seguro sobre mis html atributos, pero no sobre el HTML en sí
.me pregunto, si mi escape es suficiente. he leído this post, pero todavía no estoy seguro de mi preocupación.
(JavaScript se escaparon con el OWASP-Biblioteca)
''-> '' y '% -> &perc; '(para XSS, caracteres de codificación por% 34, etc.) –
@JoopEggen ¿En qué caso sería reemplazar'% 'por' &perc; 'útil? – Gumbo
@Gumbo '&perc;' es de hecho menos útil contra XSS, pero puede ofuscar URL. Los navegadores no toman un código de porcentaje para su char, es decir: '' no invoca javascript. –