Le entità HTML sono intrinsecamente insicure?

1

Quando invii HTML che contiene entità a OWASP HTMLSanitzer , le entità vengono convertite.

Ad esempio:

BEFORE: <p>blah blah blah &diams;</p>

L'HTML risultante termina così:

AFTER: <p>blah blah blah ?</p>

L'entità viene riconvertita nel suo carattere unicode originale.

Perché OWASP lo fa? Le entità sono pericolose? Per me, avere le entità risolve tutti i problemi lungo la strada con il testo unicode.

Inoltre, c'è un modo per consentire alle entità di rimanere intatte in HTMLSanitzer?

    
posta sproketboy 24.06.2014 - 16:12
fonte

1 risposta

-1

Sono sicuri, ma è una buona pratica di fuga o di conversione

Questo ti permetterà di evitare di essere:

  • script iniettato
  • Affronta un'incompatibilità del testo del browser (hai visto quei siti con unicode come caratteri? )

E probabilmente più

Guardalo come un modo standard per rappresentare un testo come dovrebbe essere in diverse lingue e codifiche, come alcuni utf8 rigidi mostreranno un testo formattato male se non li sfuggono, perché alcuni caratteri speciali con acute o tilde, ecc. non sarà riconoscibile all'utente finale quando è mostrato.

    
risposta data 24.06.2014 - 17:58
fonte

Leggi altre domande sui tag