0
Я изучаю эту статью: https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet, и я получаю представление о том, что объекты HTML, которые должны быть экранированы в значениях атрибутов, отличаются от содержимого HTML.объекты символов в атрибутах HTML
Но я хочу знать происхождение, это из какой-то спецификации HTML? Я не могу найти его, может кто-нибудь указать мне направление? Благодарю.
Возможно [мой ответ на * htmlspecialchars - разные экраны для атрибутов по сравнению со всем остальным? *) (Http://stackoverflow.com/a/24580477/53114) отвечает на ваш вопрос , – Gumbo
ОК, я получаю его сейчас, состояние атрибута (двойное кавычки) не так сильно отличается от состояния данных. И защитный чит-лист XSS RULE # 2 не означает, что большее количество символов должно быть экранировано в состоянии значения атрибута, это всего лишь предложение избежать большего количества символов, потому что многие люди склонны забывать добавлять кавычки для значения атрибута. –