Предотвращает ли удаление символов JavaScript ('"\ &) из входного сценария XSS?

Question

У меня следующая html строка ввода

<p><script>alert("hi")</script></p>
<img src=x:alert('xss') height= "20" width ="40" onerror=eval(src) alt="xssdemo"</img>

Вместо экранирования символов ('"&) с помощью обратной косой черты (' \ ') полное удаление этих символов предотвратит всплывающие окна XSS?

В принципе, здесь я не хочу использовать традиционный \ escape, поскольку он нарушает формат html. Я думаю, чтобы полностью удалить персонажей. например: высота = \ "20 \".

Answer 1

Нет. Встречный пример:

<img src=nothing onerror=document.title++>

На самом деле вы можете также выполнить некоторый произвольный код таким образом, при условии, что вы предварительно конвертируете его в JSFuck .