Quando invii HTML che contiene entità a OWASP HTMLSanitzer , le entità vengono convertite.
Ad esempio:
BEFORE: <p>blah blah blah ♦</p>
L'HTML risultante termina così:
AFTER: <p>blah blah blah ?</p>
L'entità viene riconvertita nel suo carattere unicode originale.
Perché OWASP lo fa? Le entità sono pericolose? Per me, avere le entità risolve tutti i problemi lungo la strada con il testo unicode.
Inoltre, c'è un modo per consentire alle entità di rimanere intatte in HTMLSanitzer?