stavo guardando attraverso il Underscore.js api e ho notato che _.escape sfugge &, <, >, ", ' e / caratteri. Quello che mi ha sorpreso è sfuggire a /.perché _. esplape modifica/caratteri in Underscore.js?
C'è una ragione per sfuggire ai caratteri / che non conosco?
EDIT: OK, a quanto pare, è consigliato da OWASP in quanto "aiuta a terminare un'entità HTML".
sfuggire alle seguenti caratteri con codifica entità HTML per impedire commutazione in qualsiasi contesto di esecuzione, come script stile o evento gestori. L'uso di entità esadecimali è raccomandato nelle specifiche. Oltre ai 5 caratteri significativi in XML (&, <,>," '), l'attaccante barra è incluso in quanto contribuisce a porre fine un'entità HTML.
& --> &
< --> <
> --> >
" --> "
' --> ' ' is not recommended
/--> / forward slash is included as it helps end an HTML entity
non lo fa il cambiamento '/' a '\ /' lo cambia in '/'. Inoltre, '' sarebbe cambiato in '</script >' che non sarebbe un problema – zzzzBov
Esatto. Ho erroneamente indicato l'escape di JSON. –
@zzzzBov: aggiornata la risposta con la citazione. L'ho scoperto da solo ora. –