EDIT: OK, a quanto pare, è consigliato da OWASP in quanto "aiuta a terminare un'entità HTML".
sfuggire alle seguenti caratteri con codifica entità HTML per impedire commutazione in qualsiasi contesto di esecuzione, come script stile o evento gestori. L'uso di entità esadecimali è raccomandato nelle specifiche. Oltre ai 5 caratteri significativi in XML (&, <,>," '), l'attaccante barra è incluso in quanto contribuisce a porre fine un'entità HTML.
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/--> / forward slash is included as it helps end an HTML entity
fonte
2011-11-29 03:14:06
non lo fa il cambiamento '/' a '\ /' lo cambia in '/'. Inoltre, '' sarebbe cambiato in '</script >' che non sarebbe un problema – zzzzBov
Esatto. Ho erroneamente indicato l'escape di JSON. –
@zzzzBov: aggiornata la risposta con la citazione. L'ho scoperto da solo ora. –