Script de site cruzado (XSS): preciso escapar do e comercial?
Quero escapar para o XSS em um contexto HTML e até agora trato o<
, >
e"
personagens. Aparentemente, é recomendável escapar do e comercial também, mas por quê? (Além de manter o HTML válido, vamos supor que isso não seja um problema)
Então, o que estou perguntando é: quando eu escapar<
, >
e"
, alguém pode demonstrar como oe comercial ainda pode permitir um ataque XSS em um contexto HTM
Felicidades