HTML：我应该编码大于还是不编码？ (>>)

Question

当编码可能不安全的数据时，是否有理由编码 >？

• 无论哪种方式，它都会验证。
• 浏览器对这两种方式的解释都是相同的（在 attr="data"、attr='data'、data的情况下） ;）

我认为有人这样做的原因是

• 为了简化基于正则表达式的标签删除。 <[^>]+>?（罕见）
• 非引号字符串attr=data。 :-o（没有发生！）
• 代码中的美感。 （那又怎样？）

我错过了什么吗？

Answer 1

严格来说，要防止 HTML 注入，只需将 < 编码为 < 即可。

如果要将用户输入放入属性中，请将 " 编码为 "。

如果您正确执行操作并使用正确引用的属性，则不需要不必担心 > 但是，如果您不确定这一点，您应该对其进行编码，以确保安心 - 它不会造成任何损害。

Answer 2

HTML4 规范在其第 5.3.2 节中表示

作者应在文本中使用“>”（ASCII 十进制 62）而不是“>”

所以我相信您应该将较大的>符号编码为>（因为您应该遵守标准）。

Answer 3

当前浏览器的 HTML 解析器对 uquoted > 没有问题

，但是不幸的是，使用正则表达式来 " 解析" JS 中的 HTML 非常常见。 （示例：Ext .util.Format.stripTags）。另外，写得不好的命令行工具、IDE 或 Java 类等可能不够复杂，无法确定开始标记的限制器。

因此，您可能会遇到这样的代码问题：（

<script data-usercontent=">malicious();//"></script>

请注意语法突出显示如何处理此代码段！）

Answer 4

始终

这是为了防止 XSS 注入（通过用户使用您的任何表单提交原始 HTML或 JavaScript）。通过转义输出，浏览器知道不解析或执行任何内容 - 只将其显示为文本。

如果您不处理基于用户输入的动态输出，这可能感觉不是什么问题，但至少理解这一点很重要，即使不是养成一个好习惯。

Answer 5

是的，因为如果未对符号进行编码，则可能会在表单、社交媒体和许多其他媒体上进行 xss，因为攻击者可以使用

Answer 6

对 html 字符进行编码始终是一项微妙的工作。 您应该始终对需要编码的内容进行编码并始终使用标准。使用双引号是标准的，甚至双引号内的引号也应该进行编码。始终编​​码。想象一下这样的事情

<div> this is my text an img></div>

可能是 img>将从浏览器解析为图像标签。浏览器总是尝试解析未封闭的标签或引号。正如巴塞尔所说，使用标准，否则您可能会在不了解错误来源的情况下得到意想不到的结果。