作者:卢代马OR撸代码 | 来源:互联网 | 2023-05-22 12:04
1> ikegami..:
安全的做法是始终如下逃避:
& ? &
? >
" ? "
' ? '
详细解答:
&在元素文本和属性值中是特殊的.请&改用.
<在元素文本中很特别.请<改用.
> 本身并不特别.
"特殊于由分隔的属性值".请"改用.
'特殊于由分隔的属性值'.'改为使用[1].
]]>在元素文本中很特别.请]]>改用.
]]>CDATA部分是特别的.请]]>]]>改用.
-- 不能用于评论.
在XML中只能找到以下字符:0x0009,0x000A,0x00D,0x0020..0xD7FF,0xE000..0xFFFD,0x10000..0x10FFFF.没有办法包括其他人.
&,<,>,"并且'可以随时在元素文本中使用和属性值,即使它没有必要这么做,所以安全的事情是要始终逃脱&,<,>,"和'.(或者,除了单引号外,总是将它们全部转义,并且永远不要使用单引号作为属性值的分隔符.)
在HTML中,您必须使用&#39;.旧版本的Internet Explorer意外地不支持'XHTML(基于XML的HTML).因此,有些人也使用&#39;XML.
京公网安备 11010802041100号