Se la domanda è "Perché abbiamo bisogno di codificare caratteri diversi da < e >" , questo è possibile perché esistono casi angolari. Un esempio ingenuo sarebbe quando l'input da una casella di testo viene utilizzato per generare, ad esempio, un href o una sorgente di immagini al volo.
possiblities:
<img src="&{alert('XSS Vulnerable')};">
Il carattere speciale "&" viene talvolta interpretato come un nuovo segmento di codice JavaScript (entità).
" [event]='code'
In molti casi può essere possibile per un utente malintenzionato inserire una stringa di exploit, con la sintassi sopra, in un tag HTML che dovrebbe essere stato come:
<A HREF="exploit string">Go</A>
risultante in:
<A HREF="" [event]='code'">Go</A>
<b onMouseOver="self.location.href='http://bad.com/'">text</b>
Mentre il cursore del client si sposta sul testo in grassetto, si verifica un evento intrinseco e viene eseguito il codice JavaScript.
Ci sono molti altri casi angolari / oscuri (nel mondo di oggi) in cui la codifica è appena < o > potrebbe non essere abbastanza Cerca il link per un run discreto (se non leggermente obsoleto) di casi simili.