我在看OWSAP防止片,但我得到了與規則編號混淆2.HTML屬性逃逸
規則#2 - 屬性逃生插入不可信數據轉換成HTML常見屬性之前 規則#2是將不可信的數據放入典型的屬性值,如寬度,名稱,值等。這不應該用於像href,src,style,或任何事件處理程序(如onmouseover)的複雜屬性。事件處理程序屬性應該遵循HTML JavaScript數據值的規則#3是非常重要的。
什麼是複雜的屬性,不應該逃脫的理由,(這不應該被用於諸如HREF,SRC,風格複雜屬性),這將創建一個歧義或破壞屬性的值?
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet