Nella loro REGOLA # 1, OWASP suggerisce che &
debba essere codificato come &
prima che venga inserito in una pagina HTML. Tuttavia, nei seguenti casi:
<tag>userInput</tag>
<tag attribute="userInput"></tag>
Se sfuggo solo i quattro caratteri <
, >
. '
e "
, ma non &
, c'è qualche carico utile che potrebbe ancora causare XSS? O ci sono casi in cui &
deve essere sottoposto a escape per impedire le vulnerabilità di XSS?