Cross Site Scripting (XSS): ¿Necesito escapar del ampersand?
Quiero escapar para XSS en un contexto HTML, y hasta ahora trato el<
, >
y"
caracteres. Aparentemente también se recomienda escapar del ampersand, pero ¿por qué? (Aparte de mantener el HTML válido, supongamos que esto no es un problema)
Así que lo que pregunto es: cuando escapo<
, >
y"
, ¿alguien puede demostrar cómo el ampersand todavía puede permitir un ataque XSS en un contexto HTML?
¡Salud