Почему я должен конвертировать и в & в профилактику XSS?

Question

Недавно я думал о вопросе, о котором упоминаю в заголовке.

Как подсказывают OWASP в своем ПРАВИЛЕ № 1, перед тем как вставить пользовательский ввод в HTML-страницы, нужно сделать несколько экранированных символов HTML.

Однако, в следующих случаях:

UserInput

Если я экранирую только 4 символа: <> '", но не &, есть ли какая-либо полезная нагрузка, которая может вызвать XSS? Обратите внимание, что & quot; в userInput не может сделать атрибут закрытым.

Или есть случаи, когда символ должен быть экранирован, иначе будут существовать уязвимости XSS?

Answer 1

Вот что вы должны учитывать:

< равно < и > равно >

Вы можете видеть, что & используется для указания точки выхода.

Так что если вы хотите ввести & вместо &, браузеры (парсер) могут рассматривать его как точку выхода.

Вот почему вам нужно использовать & вместо &.